Menerapkan dan Mengelola Proses Rekayasa Menggunakan Prinsip Desain yang Aman - dummies

Ini adalah kecenderungan manusia alami untuk membangun sesuatu tanpa memikirkan implikasi desain atau keamanan mereka terlebih dulu. Seorang insinyur jaringan yang sedang membangun jaringan baru mungkin mulai memasukkan kabel ke router dan switch tanpa memikirkan keseluruhan desain - apalagi pertimbangan keamanan. Demikian pula, seorang insinyur perangkat lunak yang ditugaskan untuk menulis sebuah program baru cenderung mulai coding tanpa merencanakan rancangan program.

Jika Anda mengamati dunia luar dan produk konsumen yang tersedia, terkadang Anda melihat kegunaan dan kelemahan keamanan yang mengerikan yang membuat Anda bertanya-tanya bagaimana orang atau organisasi itu diizinkan berpartisipasi dalam disain dan pengembangannya..

Para profesional keamanan perlu membantu organisasi memahami bahwa prinsip keamanan oleh desain merupakan komponen penting dalam pengembangan sistem apapun.

Proses rekayasa yang memerlukan dimasukkannya prinsip desain yang aman meliputi:

• Pengembangan konsep. Dari tahap ide, pertimbangan keamanan sangat penting bagi keberhasilan usaha rekayasa TI baru. Setiap proyek dan produk dimulai dengan sesuatu - sesi papan tulis, sketsa pada serbet koktail atau kotak pizza, atau panggilan konferensi. Namun proyek dimulai, seseorang harus bertanya bagaimana data, fungsi, dan komponen vital akan terlindungi dalam hal baru ini. Kami tidak mencari jawaban yang terperinci, tapi cukup percaya diri untuk mengetahui bahwa kami bukan sekawanan domba yang bergegas menuju tebing terdekat.
• Persyaratan. Sebelum desain sebenarnya dimulai, satu atau lebih orang akan menentukan persyaratan untuk sistem atau fitur baru. Seringkali, ada beberapa kategori persyaratan. Persyaratan keamanan, privasi, dan peraturan seringkali perlu disertakan.
• Desain. Setelah semua persyaratan telah ditetapkan dan disepakati, desain formal sistem atau komponen dapat dimulai. Desain harus menggabungkan semua persyaratan yang ditetapkan pada langkah sebelumnya.
• Pembangunan. Bergantung pada apa yang sedang dibangun, pengembangan mungkin memerlukan banyak bentuk, termasuk membuat
  • Konfigurasi sistem dan perangkat
  • Diagram racking peralatan data center
  • Aliran data untuk sistem manajemen dan pemantauan
• Pengujian Komponen individual dan keseluruhan sistem diuji untuk memastikan bahwa setiap persyaratan yang dikembangkan sebelumnya telah tercapai. Umumnya, seseorang selain pembangun / pengembang harus melakukan pengujian.
• Implementasi. Bila sistem atau komponen ditempatkan pada layanan, pertimbangan keamanan membantu memastikan hal ini tidak menempatkan sistem / komponen baru atau hal-hal terkait yang berisiko. Kegiatan implementasi meliputi
  • Mengkonfigurasi dan mengaitkan perangkat jaringan
  • Menginstal dan mengkonfigurasi sistem operasi atau subsistem, seperti sistem manajemen basis data, server web, atau aplikasi
  • Pembangunan fasilitas fisik, area kerja, atau pusat data
• Pemeliharaan dan dukungan. Setelah sistem atau fasilitas dioperasikan, semua perubahan selanjutnya perlu dilakukan dengan langkah rekayasa serupa untuk memastikan bahwa risiko keamanan baru atau yang berubah dengan cepat dikurangi.
• Dekomisioning Bila sebuah sistem atau fasilitas mencapai akhir masa pakainya, maka harus dihentikan tanpa menempatkan data, sistem lain, atau personil yang berisiko.