Razumijevanje Posljedica Akronima u Cybersecurityju
Akronimi nisu jedinstveni za cyber sigurnost, ali su postali prepoznatljiv znak naše komunikacije. Pitanje je, trebamo li dodavati ovu složenost industriji koja je već složena? Ili pak akronimi uzrokuju dodatne frustracije među našim programerima? Cilj nam je učiniti sigurnost pristupačnom i djelotvornom. Cybersecurity industrija doživljava rekordan rast od 20% godišnje, a temelji se na obećanju povećane produktivnosti. Međutim, često se suočavamo s problemom da se programeri bore zadržati fokus na bitnom. Umjesto toga, suočavaju se s novim akronimom koji ih prisiljava da traže objašnjenja prije nego što nešto naprave.
Razumijevanje Jezičnih Barijera
Kao istraživač sigurnosti i zagovornik u Aikido, često se suočavam s problemom kako komuniciramo o sigurnosnim alatima. Obično ih opisujemo prema tome što su, a ne što rade. Na primjer, „statističko testiranje sigurnosti aplikacija“ ne znači puno onima koji nisu upoznati s tim pojmom. Međutim, njegov cilj je osigurati naš kod. Kada to shvatimo, lakše ćemo razumjeti što „dinamičko testiranje sigurnosti aplikacija“ zapravo radi – to je kao i da haker traži ranjivosti u našim aplikacijama.
Promjena Pristupa Komunikaciji
Jedna od mojih najvećih frustracija je nerazumijevanje potrebe za akronimima. Dok gradimo sigurnosne alate, trebali bismo moći opisati njihove funkcije u jednostavnom jeziku umjesto da ih objašnjavamo kroz tehničku terminologiju. Ovo se pitanje proširuje i na razinu upravljanja, gdje sigurnosni timovi često pate od neizvjesnosti kad je riječ o financiranju. Postoji paradoks – sigurnosni timovi uvjeravaju se da nisu dovoljno financirani, dok se istovremeno suočavamo s povećanjem cyber napada.
Jedan od najvećih problema je što donosioci odluka u upravama često nemaju dobar uvid u ono što je potrebno. Ne možemo jednostavno ući u upravnu sobu s zahtjevom za kupovinu novih alata temeljenih na akronimima poput CNAPP.
Izazovi i Rješenja
Postoji osjećaj da, iako se borimo protiv ove kulture akronima 2024., hitno trebamo pristupiti problemu cyber sigurnosti na holistički način. Trenutno imamo tendenciju da osiguramo cijele aplikacije ili softverske procese u odvojenim fazama. Razmislimo: Što ako bismo mogli integrirati inovativne pristupe kako bismo stvorili sigurnosni sustav koji bi bio prirodni dio razvoja?
Evo četiri ključna područja na koja se trebamo fokusirati:
- Osiguranje izvornog koda: Ovdje se radi o svemu što je napisano u kodu, uključujući infrastrukturu kao kod.
- Osiguranje aplikacije u radu: Zaštita aplikacije dok je u funkciji i otkrivanje potencijalnih ranjivosti.
- Osiguranje cloud okruženja: Zaštita infrastrukture na kojoj sve radi.
- Osiguranje opskrbnog lanca: Ovdje se radi o zavisnostima, komponentama otvorenog koda i trećim stranama.
Ova četiri područja su jasno objašnjena, što programerima olakšava razumijevanje bez potrebnog znanja o akronimima koji često imaju slična, ali različita značenja.
Zaključak: Preporuka za Budućnost
Kao što je Jason Haddix, bivši CISO u Ubisoftu, jednom rekao: “sposobnost pretvaranja tehničkih pojmova u jednostavnije izraze bila je ključna za moj uspjeh.” Potrebno je više takvih komunikacijskih vještina kako bi se efikasno prenijele informacije o sigurnosti.
Moramo se pomaknuti od kulture složenosti prema jasnoći i inkluzivnosti. Kada komuniciramo učinkovito o sigurnosti, ne samo da prenosimo informacije, već pokazujemo poštovanje prema vremenu i mentalnom opterećenju programera. Osim toga, omogućujemo bolju komunikaciju unutar organizacije, čime se smanjuje, ali i razumije problem underfundinga koji često abrazivno utječe na odjele za cyber sigurnost.
U svijetu prepunom akronima, vrijeme je da se okrenemo jednostavnim rješenjima koja su lako razumljiva svima.
