உங்கள் நிறுவனம் ஒரு புதுமையான பயன்பாடு அல்லது இணைக்கப்பட்ட தயாரிப்புக்கான ஒரு கொலையாளி கருத்தை கொண்டுள்ளது, மேலும் நீங்கள் அந்த ஆரம்ப நீல-வானம் மற்றும் வெள்ளை பலகை கட்டத்தில் இருக்கிறீர்கள். உங்கள் விநியோகச் சங்கிலியை உருவாக்கவும், கண்களைக் கவரும் விளம்பரங்களை உருவாக்கவும், சமூக ஊடக சலசலப்பைத் தொடங்கவும் உங்களுக்கு நிறைய வாய்ப்புகள் உள்ளன. ஆனால் காத்திருக்க முடியாத ஒரு பணி இருக்கிறது. பாதுகாப்புடன் தொடங்குவதற்கான நேரம் இது – மேலும் புதிய தயாரிப்புகளை உருவாக்கும் போது ஒலி பாதுகாப்பு நடைமுறைகளைப் பயன்படுத்துவதும் இதில் அடங்கும்.
உண்மைக்குப் பிறகு பாதுகாப்பைப் ஒட்டுவது கடினம் என்று தொழில்நுட்ப வல்லுநர்கள் உங்களுக்குச் சொல்வார்கள். சவுண்டர் உத்தி – மற்றும் நுகர்வோர் நம்பிக்கையை வெல்ல அதிக வாய்ப்புகள் – ஆரம்பத்தில் இருந்தே பாதுகாப்பை உருவாக்குவதாகும். எஃப்.டி.சி விசாரணைகள், சட்ட அமலாக்க நடவடிக்கைகள் மற்றும் வணிகங்கள் எங்களுடன் பகிர்ந்து கொண்ட அனுபவங்கள் ஆகியவற்றைப் பார்ப்பது தயாரிப்பு வளர்ச்சியில் பாதுகாப்பைத் தொடங்குவதன் முக்கியத்துவத்தை பரிந்துரைக்கிறது. அந்த மூலங்களிலிருந்து பெறப்பட்ட எடுத்துக்காட்டுகள் இங்கே.
பாதுகாப்பான குறியீட்டில் உங்கள் பொறியாளர்களுக்கு பயிற்சி அளிக்கவும்.
ஒலி தரவு பாதுகாப்பில் உங்கள் நிறுவனம் வைக்கும் பிரீமியம் “இது சொல்லாமல் போகும். . . ” வகையான விஷயம். அதை தெளிவாகவும், நேர்மையாகவும், அடிக்கடி சொல்லுங்கள். தயாரிப்பு வளர்ச்சியில் பாதுகாப்பை உருவாக்க ஒவ்வொரு கட்டத்திலும் உங்கள் ஊழியர்கள் ஊக்குவிக்கப்படும் ஒரு பணிச்சூழலை உருவாக்கவும். கருத்தில் இருந்து சந்தை மற்றும் அதற்கு அப்பால், ஊழியர்கள் தங்கள் முடிவெடுப்பதில் பாதுகாப்பை முன்னணியில் வைத்திருக்கிறார்கள் என்ற உங்கள் எதிர்பார்ப்பை வெளிப்படுத்துங்கள். இறுதியில், இது உங்கள் வாடிக்கையாளர்களுக்கும், உங்கள் நிறுவன நற்பெயருக்கும், உங்கள் லாபத்திற்கும் சிறந்த உத்தி.
எடுத்துக்காட்டு: ஒரு புதிய மென்பொருள் தயாரிப்பைத் தொடங்கும் ஒரு நிறுவனம் அதன் மென்பொருள் பொறியாளர்களுக்கு குறியீட்டின் முக்கியத்துவத்தை விரைவாக வலியுறுத்துகிறது, இது தயாரிப்பு விரைவில் சந்தையை அடைகிறது என்பதை உறுதி செய்கிறது-மேலும் பொறியாளர்கள் உள் குறியீட்டு காலக்கெடுவை சந்திக்கிறார்கள். தயாரிப்பு நுகர்வோரின் கைகளில் இருந்த பின்னரே, பொறியாளர்கள் மீண்டும் மீண்டும் குறியீட்டை உருவாக்கியுள்ளனர் என்பதை நிறுவனம் கண்டுபிடித்துள்ளது, இது பொதுவான, நன்கு அறியப்பட்ட பாதுகாப்பு பாதிப்புகளுக்கு எளிதில் பாதிக்கப்படக்கூடிய தீர்வுகள் உள்ளன. சிக்கலை சரிசெய்ய, நிறுவனம் ஒரு விலையுயர்ந்த பின் சரிசெய்தலை செயல்படுத்த வேண்டும். மேம்பாட்டு செயல்முறை முழுவதும் பாதுகாப்பான குறியீட்டின் முக்கியத்துவத்தை நிறுவனம் தனது மென்பொருள் பொறியியலாளர்களுக்கு வலியுறுத்துவதற்கும், அந்த எதிர்பார்ப்பை பூர்த்தி செய்ய தேவையான பயிற்சியை அவர்களுக்கு வழங்குவதற்கும் மிகவும் திறமையான-மற்றும் இறுதியில், அதிக செலவு குறைந்த-நடைமுறை இருந்திருக்கும்.
பாதுகாப்பிற்கான இயங்குதள வழிகாட்டுதல்களைப் பின்பற்றவும்.
பாதுகாப்புடன் தொடங்குவது என்பது புதிதாகத் தொடங்குவதாக அர்த்தமல்ல. ஒவ்வொரு முக்கிய தளத்திலும் டெவலப்பர்களுக்கான வழிகாட்டுதல்கள் உள்ளன, அவை உணர்திறன் தரவைப் பாதுகாப்பாக வைத்திருக்க உதவுகின்றன. புதிய தயாரிப்புகளை வடிவமைப்பதில் புத்திசாலித்தனமான நிறுவனங்கள் அந்த ஆலோசனையை கணக்கில் எடுத்துக்கொள்கின்றன.
எடுத்துக்காட்டு: ஒரு நிறுவனம் இரண்டு வெவ்வேறு பயன்பாட்டு தளங்களுக்கு மொபைல் பயன்பாட்டை உருவாக்குகிறது. இரண்டு தளங்களுக்கும் தரவு போக்குவரத்தில் குறியாக்கம் செய்யப்பட வேண்டும், இரண்டுமே தொழில்துறை-தர குறியாக்கத்தை வழங்கும் பயன்பாட்டு நிரலாக்க இடைமுகங்கள் (API கள்) உள்ளன. தளங்களின் API களை சரியாகப் பயன்படுத்துவதன் மூலம், நிறுவனத்தின் பொறியாளர்கள் தரவைப் பாதுகாப்பாக வைத்திருக்க உதவலாம்.
பாதுகாப்பு அம்சங்கள் செயல்படுகின்றனவா என்பதை சரிபார்க்கவும்.
உங்கள் காரில் ஒரு குடையை வைத்திருப்பது ஒரு விவேகமான யோசனையாகும், ஆனால் சூரியன் பிரகாசிக்கும்போது அதைச் சோதிக்கவும். விலா எலும்புகள் வளைந்திருக்கும் அல்லது கைப்பிடி உடைந்துவிட்டன என்பதைக் கண்டறிய ஒரு பெயரில் மழை பெய்யும் வரை காத்திருக்க வேண்டாம். இதேபோன்ற ஒரு வீணில், உங்கள் தயாரிப்புகளில் பாதுகாப்பு அம்சங்களை உருவாக்குவது புத்திசாலித்தனம், ஆனால் நீங்கள் சந்தைக்குச் செல்வதற்கு முன், அவை இயக்கப்பட்டிருக்கிறதா மற்றும் சரியாக இயங்குகின்றனவா என்பதை சரிபார்க்கவும்.
மேலும், உங்கள் தயாரிப்பு வழங்கும் பாதுகாப்பின் தன்மை குறித்து நுகர்வோருக்கு நீங்கள் ஏதேனும் உரிமைகோரல்களைச் செய்தால், அந்த பிரதிநிதித்துவங்கள் உண்மையாக இருக்க வேண்டும் மற்றும் நீங்கள் விற்கத் தொடங்குவதற்கு முன்பு நீங்கள் கையில் வைத்திருக்கும் ஆதாரங்களால் ஆதரிக்கப்பட வேண்டும். “ஆனால் நாங்கள் பாதுகாப்பு தொடர்பான எந்தவொரு கூற்றையும் கூறவில்லை.” ஒருவேளை அப்படி, ஆனால் நீங்கள் உறுதியாக இருக்கிறீர்களா? எஃப்.டி.சி சட்டத்தின் கீழ், ஒரு நிறுவனத்தின் சந்தைப்படுத்தல் பொருட்களிலிருந்து நுகர்வோர் நியாயமான முறையில் செயல்படுகிறார்கள் என்று அனைத்து பிரதிநிதித்துவங்களுக்கும் நிறுவனங்கள் பொறுப்பு – வெளிப்படுத்துகின்றன மற்றும் மறைமுகமாக உள்ளன. டிவி அல்லது வானொலியில், அச்சில், உங்கள் இணையதளத்தில், ஆன்லைன் விளம்பரங்களில், பேக்கேஜிங், சமூக ஊடகங்கள் மூலம், தனியுரிமைக் கொள்கைகளில் அல்லது ஒரு பயன்பாட்டுக் கடையில் வழங்கப்பட்ட அறிக்கைகள் அல்லது சித்தரிப்புகள் இதில் அடங்கும். நிறுவப்பட்ட உண்மை-விளம்பரத் தரங்களை மதிக்கும் வரை வணிகங்கள் தங்கள் சந்தைப்படுத்தல் பொருட்களில் முன் மற்றும் மையத்தை வைக்க இலவசம். எனவே, உங்கள் தயாரிப்பின் பாதுகாப்பு நன்மைகளைப் பற்றி நீங்கள் கூறுவதற்கு முன், அவர்கள் விளம்பரப்படுத்தப்பட்ட வாக்குறுதிகளுக்கு ஏற்ப அவை வாழ்கின்றனவா என்பதை சரிபார்க்கவும்.
எடுத்துக்காட்டு: வீட்டு பட்ஜெட் பயன்பாட்டை விற்கும் ஒரு நிறுவனம் அதன் தயாரிப்புக்கு “வங்கி தர பாதுகாப்பு” இருப்பதாகக் கூறி ஒரு விளம்பரத்தை இயக்குகிறது. ஆனால் நிறுவனத்திற்கு எழுத்துப்பூர்வ பாதுகாப்புத் திட்டம் இல்லை, இடர் மதிப்பீடுகளை நடத்தவில்லை, அதன் ஊழியர்களுக்கு பாதுகாப்பான தகவல் நடைமுறைகளில் பயிற்சி அளிக்கவில்லை, மேலும் “வங்கி தர பாதுகாப்புடன்” பொதுவாக தொடர்புடைய பிற நடைமுறைகளை செயல்படுத்தத் தவறிவிட்டது. தவறான அல்லது ஆதாரமற்ற பிரதிநிதித்துவங்களைச் செய்வதன் மூலம், நிறுவனம் நிறுவப்பட்ட உண்மையை விளம்பரப்படுத்தும் தரங்களை மீறிவிட்டது.
பொதுவான பாதிப்புகளுக்கான சோதனை.
உங்கள் தயாரிப்பை 100% ஹேக்-ப்ரூஃப் செய்ய ஏதாவது வழி இருக்கிறதா? சரத்துடன் இணைக்கப்பட்ட தகரம் கேன்களின் நாட்களை மாற்றாமல், பதில் இல்லை. ஆனால் உங்கள் வாடிக்கையாளர்களை நன்கு அறியப்பட்ட பாதிப்புகளிலிருந்து பாதுகாக்க நீங்கள் எடுக்கக்கூடிய படிகள் உள்ளன, அவை முயற்சித்த மற்றும் உண்மையான பாதுகாப்பு கருவிகளுடன் தடுக்கக்கூடியவை. நல்ல செய்தி என்னவென்றால், அந்த கருவிகள் பல இலவசமாக அல்லது குறைந்த செலவில் கிடைக்கின்றன. உங்கள் தயாரிப்பை வெளியிடுவதற்கு முன், இது பிரதான நேரத்திற்கு தயாராக இருப்பதை உறுதிப்படுத்திக் கொள்ளுங்கள். அறியப்பட்ட அபாயங்களுக்கு எதிராக நீங்கள் பாதுகாப்பில் கட்டியெழுப்பப்படுவதை உறுதிசெய்ய அதைச் சோதிக்கவும்.
நிச்சயமாக, புதிய அச்சுறுத்தல்கள் அவ்வப்போது வெளிப்படுகின்றன, அதனால்தான் பாதுகாப்பு உங்கள் வணிகத்தில் ஒரு மாறும் செயல்முறையாக இருக்க வேண்டும். கடந்த ஆண்டு தயாரிப்புக்கு நீங்கள் வைத்திருக்கும் பாதுகாப்பு நெறிமுறைகள் பதிப்பு 2.0 க்கு போதுமானதாக இருக்காது. சமீபத்திய அச்சுறுத்தல்களுக்கு எதிராக பாதுகாப்பது குறித்து உங்கள் காதை எவ்வாறு தரையில் வைத்திருக்க முடியும்? ஆராய்ச்சியாளர்கள், தொழில்நுட்ப வல்லுநர்கள், தொழில்துறை உறுப்பினர்கள், அரசு நிறுவனங்கள் மற்றும் பிறரிடையே பாதுகாப்புடன் ஒட்டிக்கொள்வதில் உறுதியாக இருக்கும் வலுவான பொது குறுக்கு பேச்சு உள்ளது. நம்பகமான வலைத்தளங்களைப் பற்றிய அவர்களின் விவாதங்களைப் பின்பற்றுங்கள், புதிய அபாயங்கள் குறித்த அவர்களின் எச்சரிக்கைகளுக்கு செவிசாய்க்கவும், அதற்கேற்ப உங்கள் வடிவமைப்பு முடிவுகளைத் திருத்தவும்.
எடுத்துக்காட்டு: 10 கே ரேஸ் விண்ணப்பத்திற்கு பதிவுசெய்தவர்கள் தங்கள் பெயர், முகவரி, பிறந்த தேதி, கிரெடிட் கார்டு எண் மற்றும் வேகமான 10 கே நேரத்தை உள்ளிட வேண்டும். தரவு ஒரு SQL தரவுத்தளத்தில் சேமிக்கப்படுகிறது, இது நாடு முழுவதும் உள்ள பந்தய நிகழ்வுகளின் தரவை ஒருங்கிணைக்கிறது. பாதுகாப்பு அபாயங்களில் தற்போதைய நிலையில் இருக்க நிகழ்வு அமைப்பாளர்கள் இலவச ஆதாரங்களை அணுகவில்லை, மேலும் SQL ஊசி தாக்குதலுக்கு அவர்களின் பயன்பாடு பாதிக்கப்படுமா என்பதை மதிப்பிடுவதற்கு எந்தவொரு குறியீடு பகுப்பாய்வு அல்லது ஊடுருவல் சோதனைகளையும் ஒருபோதும் செய்யவில்லை. இலவச ஆதாரங்களுடன் தற்போதைய நிலையில் இருப்பதன் மூலம் – எடுத்துக்காட்டாக, OWASP இன் முதல் பத்து திட்டம் – நிகழ்வு அமைப்பாளர் பந்தய வீரர்களின் தனிப்பட்ட தகவல்களை அங்கீகரிக்கப்படாத அணுகலுக்கு வெளிப்படுத்தும் அபாயத்தை குறைத்திருக்கலாம்.
எடுத்துக்காட்டு: சைபர்ட்ரீட்ஸ் பற்றிய புதுப்பிக்கப்பட்ட தகவல்களுக்கு ஒரு பயன்பாட்டு நிறுவனம் யு.எஸ்-செர்ட் போன்ற பொது வளங்களை தவறாமல் ஆலோசிக்கிறது. சில ஹேக்கர்கள் சுரண்டத் தொடங்கிய பாதுகாப்பு குறைபாடு அடங்கும் என்பதை நிறுவனம் உணர்கிறது. சிக்கலை முன்கூட்டியே பிடித்து, பொருத்தமான தீர்வை செயல்படுத்துவதன் மூலம், நிறுவனம் தனது வாடிக்கையாளர்களையும் அதன் நற்பெயரையும் பாதுகாத்துள்ளது.
இந்த எடுத்துக்காட்டுகளிலிருந்து நிறுவனங்கள் என்ன கற்றுக்கொள்ளலாம்? தரையில் இருந்து பாதுகாப்பை வளர்ப்பது புதுமைக்கான செலவு குறைந்த அணுகுமுறையாகும்.
