Tag: opensource

Key trends in IT and related cyber-risks

Tren konci dina IT sareng résiko cyber anu aya hubunganana

Oleh bambang raharjoDiposting pada Juli 25, 2023

Syarat bisnis pikeun tim IT sareng infosec rupa-rupa sareng sering konflik. Tugasna kalebet pangurangan biaya, pamakean data anu efisien, otomatisasi, migrasi awan sareng timbangan sadaya résiko kaamanan inpormasi. Kumaha tren konci sareng parobihan dina IT mangaruhan profil infosec perusahaan, sareng naon anu kedah dipertimbangkeun réspon anjeun kana kabutuhan bisnis? Kami nganalisis tren IT anu paling penting sareng praktis (nurutkeun sababaraha kelompok ahli bebas sareng analis pasar cybersecurity), fokus kana aspék masing-masing infosec.

optimasi IT

Usaha di sakumna dunya ngagaduhan alesan anu hadé pikeun ngencangkeun sabukna – naha éta kusabab parobahan geopolitik, inflasi atanapi resesi ékonomi. Pikeun tim IT, ieu hartosna tinjauan utama biaya operasional. Departemen keuangan dinten ieu ngagaduhan biaya awan dina mikroskop, sabab 60% data perusahaan ayeuna disimpen dina méga. Pikeun seueur perusahaan, migrasi ka awan ngadadak sareng teu sistematis, nyababkeun tunggakan langganan SaaS anu teu dianggo, ogé mesin virtual anu dikonpigurasi sacara suboptimal sareng lingkungan awan anu sanés. Biasana aya seueur poténsi pikeun optimasi di dieu, tapi éta henteu kedah janten prosés sakali. Perusahaan kedah nyiptakeun budaya dimana biaya awan mangrupikeun perhatian sanés ngan ukur jalma IT, tapi ogé para pangguna awan sorangan.

sudut Infosec. Salila optimasi sareng konsolidasi, jasa awan dikonfigurasi deui sareng data dipindahkeun antara lingkungan awan anu béda. Penting pikeun ngalokasikeun waktos sareng sumber pikeun audit sistem pasca migrasi pikeun mastikeun, antara séjén, yén setélan kaamanan leres sareng sadaya akun jasa anu diperyogikeun pikeun migrasi palabuhan parantos ditutup. Salila migrasi, éta mangrupakeun ide nu sae pikeun ngamutahirkeun rusiah (token aksés, konci API, jsb) jeung ngalaksanakeun enkripsi prakték pangalusna sarta kawijakan cipher.

Upami aya alat atanapi jasa awan anu ditumpurkeun saatos migrasi, ieu kedah dipiceun tina sadaya data rahasia sareng inpormasi jasa (debugging sareng file samentawis, data uji, jsb.).

Open source

Mangpaat ékonomi tina aplikasi open source rupa-rupa: contona, pausahaan ngembangkeun software ngurangan waragad sarta waktu ka pasar ngaliwatan pamakéan kode siap-dijieun, sedengkeun nu sejenna acquire sistem nu maranéhna bisa ngaropéa tur ngajaga internal, lamun diperlukeun.

sudut Infosec. Résiko utama open source nyaéta aya kerentanan sareng backdoors dina kode pihak katilu – utamina kusabab éta henteu salawasna jelas saha anu kedah ngalereskeun kodeu sareng kumaha carana. Seringna perusahaan bakal ngagunakeun sababaraha perpustakaan atanapi parangkat lunak tanpa terang. Ngaleungitkeun resiko open source merlukeun inventaris kode jeung sistem scanning. Pikeun tampilan anu langkung jero ngeunaan résiko sareng ukuran mitigasi, tingali tulisan kami anu misah.

Manajemén data

Pausahaan badag di ampir unggal industri geus ngumpulkeun jumlah badag data operasional salila kira dua dekade ayeuna. Dina tiori, éta mantuan ngaoptimalkeun jeung ngajadikeun otomatis prosés bisnis jeung ngamekarkeun produk fundamentally anyar (kadangkala data sorangan jadi komoditi ditéang-sanggeus). Dina prakna, kumaha oge, hal anu leuwih pajeulit: loba data dikumpulkeun, tapi mindeng struktur na, recency, sarta formulir gudang sapertos nu hese atawa malah teu mungkin pikeun manggihan informasi sarta ngagunakeun éta.

Pikeun pertumbuhan anu didorong ku data nyata, usaha peryogi prosedur anu jelas pikeun ngumpulkeun, ngakatalogkeun, nyimpen, sareng ngagunakeunana. Strategi anu kapaké di dieu nyaéta manajemén data sareng pamaréntahan data. Strategi ieu ngajelaskeun struktur sareng sifat inpormasi anu disimpen sareng siklus kahirupan data lengkep, sareng ngamungkinkeun anjeun pikeun ngatur panyimpenan sareng pamakeanna.

sudut Infosec. Tata kelola data dilaksanakeun pikeun alesan ékonomi, tapi mangpaat jaminan pikeun kaamanan informasi téh loba pisan. Barina ogé, ku terang dimana sareng naon data anu disimpen, perusahaan langkung saé pikeun meunteun résiko, nyayogikeun panyalindungan anu nyukupan pikeun sadaya set data, sareng patuh kana hukum data pribadi. Tim infosec kedah maénkeun peran anu aktip dina ngamekarkeun sareng ngalaksanakeun strategi manajemén data, kalebet: kabijakan aksés sareng enkripsi, kontrol patuh, ukuran pelindung pikeun data nalika istirahat sareng transit, sareng prosedur pikeun kéngingkeun aksés. Strategi ogé kedah nutupan jinis data “tambahan” sapertos inpormasi téknis cadangan sareng proprietary dina méga (utamana SaaS).

Kode low & euweuh kode

Pendekatan low-code ngamungkinkeun sistem bisnis dirobih sareng diperpanjang tanpa programer. Modifikasi umum kaasup ngarobah interfaces aplikasi jeung ramatloka, nyieun analisis data anyar jeung skenario kontrol, sarta robotic prosés automation (RPA). Éta ngabantosan ngembangkeun solusi CRM, manajemén e-dokumen, nyiptakeun halaman wéb pamasaran, jsb. Usaha kauntungan tina pendekatan ieu kusabab biaya pangropéa IT anu aub sacara signifikan langkung handap tina mitra anu peryogi programer “nyata”. Sababaraha sistem no-code/low-code populér nyaéta Microsoft Power Apps, Salesforce, Uipath, komo WordPress.

sudut Infosec. Sistem kode rendah nyababkeun résiko anu signifikan, sabab ku harti aranjeunna gaduh aksés lega kana data sareng sistem IT perusahaan anu sanés. Éta ogé ngonpigurasi sarta dipaké ku jalma tanpa IT / latihan infosec jero. Sadaya ieu tiasa nyababkeun kabocoran data, sagala rupa bentuk eskalasi hak husus, logging teu cekap, sareng aksés anu henteu sah kana inpormasi.

Sajaba ti éta, pamaké sistem sapertos rutin ninggalkeun rusiah, kayaning konci API, langsung dina kode. Sareng anu paling penting, ampir sadaya sistem tanpa kode aktip ngagunakeun arsitektur plug-in sareng gaduh gudang komponén khusus sorangan pikeun proyék-proyék pangguna. Kerentanan dina komponén ieu sering pisan serius sareng sesah pisan dilacak sareng gancang ngalereskeun nganggo alat infosec standar.

Tim infosec kudu ngamekarkeun kawijakan jeung prosedur husus pikeun tiap aplikasi low-kode dipaké di pausahaan. Administrator sareng pamilik aplikasi kedah nampi pelatihan anu jero dina prosedur infosec ieu, sedengkeun pangguna biasa aplikasi kode-rendah peryogi pelatihan khusus dasar. Salaku bagian tina palatihan pamaké ieu, hal anu penting pikeun ngajarkeun prakték programming aman tur kumaha carana make sistem. Sahenteuna, latihan kedah ngawengku syarat teu nyimpen kecap akses dina kode software, pariksa data input, sarta ngaleutikan operasi modifikasi data.

Administrator IT kedah nengetan caket kana ngaminimalkeun hak istimewa sareng ngadalikeun aksés ka data ngaliwatan aplikasi kode-rendah. Tim infosec kedah ngaevaluasi solusi khusus pikeun ngajagi aplikasi kode low tangtu; contona, aya hiji mini-industri cukup thriving sabudeureun WordPress. Langkung seueur ngeunaan topik anu cukup lega ieu tiasa dipendakan dina tulisan kami anu misah.

Kateguhan & ketahanan

Insiden IT utama dina dasawarsa katukang (henteu kedah serangan cyber) parantos ngajarkeun usaha yén investasi dina résiliensi IT boh biaya-éféktif sareng ganjaran. Investasi di dieu utamina ditujukeun pikeun ngaleungitkeun karugian bencana sareng mastikeun kasinambungan bisnis. Tapi sanajan kajadian utama teu diitung, daya tahan mayar kaluar ku ngaronjatkeun pangalaman pamaké pikeun konsumén jeung karyawan, ningkatkeun reputasi hiji parusahaan, sarta nyetir kasatiaan.

Aya sababaraha cara pikeun ngembangkeun ketahanan:

Uji jero sistem IT salami pamekaran (devops, devsecops);
Ngarancang sistem anu tiasa neruskeun fungsina upami aya kagagalan parsial (redundansi, duplikasi);
Nerapkeun sistem ngawaskeun pikeun ngalacak anomali IT / infosec sareng nyegah kajadian dina tahap awal (gagalna database, teu saimbangna beban, palaksanaan malware, jsb.);
Nerapkeun sistem infosec multi-layered di pausahaan;
Ngembangkeun skenario automation pikeun ngahemat waktos sareng ngaminimalkeun kasalahan manusa, kalebet skenario pikeun ngajadikeun otomatis masalah infrastruktur IT;
Diajar ranté suplai pikeun ngaleungitkeun kajadian anu aya hubunganana sareng kode supplier sareng kontraktor perusahaan, infrastruktur atanapi prosedur internal;
Laksanakeun réspon kajadian sareng prosedur pamulihan saatos kajadian sareng uji dina prakna.

sudut Infosec. Nalika usaha nungtut “daya tahan umum” tina sistem IT na, syarat IT sareng infosec di dieu dikaitkeun raket, janten ngalaksanakeun salah sahiji set di luhur bakal meryogikeun kolaborasi anu jero diantara departemén relevan. Anggaran terbatas, janten penting pikeun netepkeun prioritas sareng pembuat kaputusan bisnis sareng ngadistribusikaeun tugas sareng proyék antara “IT umum” sareng infosec, ngidentipikasi kasempetan pikeun optimasi sareng sinergi. Ideally, hiji solusi (sebutkeun, sistem cadangan) kedah ngadamel tugas IT / infosec concurrently, sarta nangtukeun syarat maranéhanana, latihan pamakéan maranéhanana, jsb, kudu dipigawé babarengan. Hasilna pikeun perusahaan bakal janten strategi ketahanan cyber holistik. Léngkah-léngkah munggaran pikeun katahan cyber dibahas sacara rinci di dieu.

Tulisan ieu henteu acan nyarios kecap ngeunaan AI generatif atanapi rupa-rupa tren IT perusahaan sanés anu masih aya dina fase “kami ékspérimén kumaha nerapkeun ieu”. Ngeunaan tren anu ngajangjikeun tapi tetep atah, kami ngarencanakeun ngaleupaskeun ulasan anu misah.

#Tren #konci #dina #sareng #résiko #cyber #anu #aya #hubunganana

Choosing between proprietary and open-source business applications.

Naha bisnis anjeun tiasa ngalih ka aplikasi open-source gratis?

Oleh bambang raharjoDiposting pada Maret 18, 2023

Aplikasi open-source parantos ngadegkeun sorangan dina sistem IT bisnis ageung sareng sedeng. Tina bagian anu ngadominasi sapertos pangladén wéb, pangkalan data, sareng analitik, solusi open source ayeuna ogé dianggo sacara lega pikeun wadahisasi, pembelajaran mesin, DevOps, sareng tangtosna, pamekaran parangkat lunak. Seueur usaha anu nuju ka open source pikeun tugas non-IT, sapertos CRM, produksi kontén visual, sareng penerbitan blog. Numutkeun ka Gartner, langkung ti 95% usaha dina sektor IT nganggo solusi open source, tapi bahkan diantara perusahaan non-IT angka na di luhur 40% sareng ngembang. Sareng éta henteu kaétang seueur kasus dimana perpustakaan open source dianggo di jero aplikasi proprietary.

Milih antara sumber kabuka sareng katutup jauh tina gampang: sanés ngan ukur masalah anu mayar sareng gratis, atanapi ngadukung sareng henteu ngadukung. Nalika mutuskeun naon waé solusi IT, usaha kedah mertimbangkeun sababaraha aspék penting.

Biaya sareng jadwal palaksanaan

Sanaos sering henteu aya biaya lisénsi pikeun solusi open source, ngalaksanakeunana henteu gratis. Gumantung kana pajeulitna solusi Anjeun, Anjeun bisa jadi kudu ngatur anggaran waktu tim IT Anjeun, mawa konsultan ahli, atawa komo nyewa pamekar nu bakal terus adaptasi aplikasi Anjeun pikeun kaperluan bisnis Anjeun.

Aya ogé modél lisénsi hibrid, anu ngamungkinkeun anjeun ngagunakeun édisi komunitas aplikasi gratis, tapi versi anu diperpanjang sareng fitur “perusahaan” masih peryogi lisénsi anu mayar.

Sajaba ti éta, loba produk open source teu datang jeung dokuméntasi lengkep jeung/atawa up-to-date atawa kursus latihan pikeun pamaké tungtung. Pikeun palaksanaan anu ageung, gap ieu kedah dieusi nyalira, nyéépkeun waktos sareng artos.

Kauntungannana open source dina fase palaksanaan nyaeta, tangtosna, kamungkinan nguji pinuh. Sanaos anjeun ngarencanakeun nyebarkeun solusi open source salaku junun hosting atanapi kalayan bantosan kontraktor khusus, ngajalankeun tés (bukti konsép) diri anjeun langkung efektif tibatan ningali demonstrasi pidéo ngeunaan solusi proprietary. Anjeun bakal gancang ningali kumaha fungsional sareng lumaku solusi pikeun bisnis khusus anjeun.

Nalika ngabandingkeun solusi sumber kabuka sareng katutup sateuacan nyebarkeun, penting pikeun ngartos sabaraha waktos anu sayogi pikeun uji, sareng naha anjeun gaduh pilihan pikeun ngarobih produk dina tahap awal. Upami watesna henteu dipencet, sareng jawaban kana patarosan anu kadua nyaéta enya, maka uji lengkep ngeunaan produk open source asup akal.

waragad rojongan

Pangrojong dinten-dinten sareng konfigurasi seueur aplikasi open source skala industri, ogé adaptasina kana beban kerja anu luhur, peryogi pangaweruh anu khusus sareng jero ti tim IT. Upami éta henteu hasil, pangaweruh ieu kedah dipésér – boh ngalangkungan nyewa ahli atanapi outsourcing. Jenis outsourcing anu paling umum ngalibatkeun bantosan para ahli khusus aplikasi (format Red Hat), atanapi hosting anu dioptimalkeun pikeun solusi IT khusus (Kube Clusters, WP Engine, atanapi format anu sami).

Tangtosna, dukungan anu dibayar ogé standar pikeun solusi proprietary; Ieu mah sakadar open source nu peryogi eta. Biaya, Samentara éta, comparable. Salaku prakték nempokeun, rojongan teknis taunan pikeun aplikasi open source perusahaan umumna ngan 10-15% langkung mirah ti solusi proprietary.

Perbaikan bug, fitur anyar sareng skala

Sanaos solusi open-source anu dewasa sacara rutin diénggalan ku fitur anu diperpanjang sareng perbaikan bug, seringna para pangembang henteu masihan prioritas bug anu penting pikeun usaha khusus. Ieu malah leuwih umum dina kasus requests fitur. Di dieu, Anjeun kudu diuk jeung ngadagoan sabar, atawa méakkeun waktu adi pamekar urang (di-imah atawa hired) nulis kode perlu. Naon nice éta ieu mungkin sahenteuna téoritis; hal goréng éta bisa ngahurungkeun kana expense badag tur unpredictable.

Catet yén junun hosting ngaleungitkeun hariwang tina masang patch sareng ngapdet aplikasi, tapi henteu tiasa ngabantosan kustomisasi individu sapertos kitu. Pausahaan anu peryogi sapertos dasarna asup kana pasar ngembangkeun, sarta kudu milih format extension maranéhna nyieun: a garpu produk software utama atawa cabang ngembangkeun utama tambahan dina partnership jeung pamekar aslina tina aplikasi. Ieu dimana kaunggulan strategis open source dimaénkeun – nyaéta, kalenturan pamakean sareng laju inovasi.

Integrasi cross-platform jeung rojongan

Pikeun solusi multi-komponén skala ageung anu aktip tukeur data, integrasi sareng kasaluyuan sareng sababaraha platform tiasa maénkeun peran utama dina pilihan produk parangkat lunak. Prioritas di dieu nyaéta dukungan pikeun format industri pikeun neundeun sareng tukeur data, ditambah antarmuka program aplikasi (API) anu didokumentasikeun. Kadang-kadang solusi vendor tunggal sareng kode sumber katutup tiasa nyumponan sarat ieu langkung saé tibatan sakumpulan solusi open source – bahkan anu kualitasna luhur. Tapi éta salawasna mangpaat pikeun ngira-ngira biaya tweaking hiji solusi open-source lamun ngéléhkeun on kriteria sejen tur geus lulus fase bukti-of-konsép.

Résiko, kaamanan sareng patuh

Open source sering disebut-sebut langkung aman. Barina ogé, upami aya anu tiasa ningali kode sumber sareng ngalereskeun bug, éta kedah langkung aman tibatan panawaran kotak hideung proprietary, sanés?

Sakumaha biasa, kanyataanana langkung rumit. Kahiji, loba aplikasi open source boga jutaan garis kode, nu teu saurang ogé bisa pinuh audit. Ieu angka nu gede ngarupakeun apdet pikeun kode ngan complicates tugas salajengna. Kitu cenah, leutik henteu hartosna aman. Salaku conto, kerentanan Shellshock basis Bash henteu kapendak salami 20 taun!

Kadua, masalah kagumantungan pisan akut, sabab aplikasi jeung kode boga ranté suplai sorangan. Aplikasi open source tiasa nganggo pustaka open source pihak katilu, anu teras-terasan numbu ka perpustakaan pihak katilu anu sanés, sareng anu ditugaskeun pikeun mariksa aplikasi éta nyalira tiasa henteu mariksa sadaya perpustakaan. Résiko ranté ieu geus ditémbongkeun waktu jeung waktu deui: vulnerabilities dina bébas Log4j perpustakaan logging mangaruhan rébuan solusi open source badag, mangaruhan grandees kayaning Amazon, Cloudflare na elastis; serangan nu ngaganti perpustakaan npm kalawan ngaran jahat dianggo dina Apple sarta Microsoft; sareng kaputusan pamekar anu mandiri henteu ngadukung perpustakaan pad kénca alit di gudang npm lumpuh langkung ti sarébu aplikasi sareng situs populér (kalebet Facebook) salami sababaraha jam.

Sumber: xkcd.com/2347

Masalah sanésna sareng katergantungan nyaéta lisénsi. Lisensi open source cukup khusus, sareng henteu aya pamayaran sanés hartosna teu aya anu gaduh hak cipta. Aplikasi sorangan sareng perpustakaanna tiasa nganggo sababaraha lisénsi, sareng ngalanggar anu langkung ketat (Copyleft) pinuh ku litigation. Sarupa sareng Inok kaamanan IT anu mapan sareng prosés mitigasi kerentanan, pangguna konci sareng pamekar parangkat lunak open source kedah gaduh prosés anu sami pikeun pariksa patuh lisénsi sacara rutin – idéalna semi-otomatis.

Sadaya di luhur henteu hartosna yén open source mangrupikeun pilihan anu paling awon tina sudut pandang kaamanan inpormasi. Anjeun ngan ukur kedah ngartos sadaya résiko: tim palaksanaan kedah ngira-ngira budaya pangembangan sareng frékuénsi apdet kaamanan dina aplikasi anu saingan sareng ngadalikeun dependensi sareng lisensi (contona, nganggo tagihan software bahan). Ogé, upami perusahaan anjeun damel dina widang pamekaran parangkat lunak, disarankeun pikeun nyeken sadaya bungkusan open source pikeun kerentanan sareng fungsionalitas anu ngabahayakeun.

#Naha #bisnis #anjeun #tiasa #ngalih #aplikasi #opensource #gratis