Ibland beror det på viljan, men oftare är det bristande kunskap som hotar säkerheten. Tyvärr gäller detta både utvecklare och produktchefer. Utvecklarna måste lära sig att flagga sårbarheter, och produktchefer behöver ökade säkerhetskunskaper för att ge utvecklarna tid och utrymme att hantera dem.
Dessutom behöver alla företag produktchefer som har tillräckligt med självförtroende för att lyfta säkerhetsutmaningar i möten med företagsledningar och andra beslutsfattare. Det är ofta en hård kamp. Säkerhet och integritet tar tid, ger inte samma snabba avkastning som att utveckla nya produkter.
Sårbarheter som dålig autentisering och kryptografi-fel har funnits på OWASPs topp 10-lista i många år och är kända för många utvecklare. Men hur många mellan- och högre chefer lyssnar när utvecklare påpekar sådana sårbarheter? Vår erfarenhet är att alldeles för få tas på allvar och att säkerheten förblir en fotnot i utvecklings- och designprocesser.
Nu börjar allt fler efterlysa en högre säkerhetskompetens i utvecklingsteam, vilket i sig är ett stort behov. Men säkerhetsutmaningarna kommer att finnas kvar om inte chefer på alla nivåer blir medvetna om riskerna, stöttar utvecklarna och tar riskerna på allvar. Både chefer och utvecklare måste förstå hur kriminella tänker. Först då kommer högre chefer att ta dem på allvar.
Ny OWASP-kurs
Efter många år i IT-branschen har vi sett konsekvenserna av dålig kommunikation alldeles för ofta. Därför har Junglemap och Tagore i samarbete nu tagit fram en ny rollbaserad kurs för produkt och utvecklingsteam.
Nils Ivar Skaalerud, COO Junglemap och Andreas Hegna, CEO Tagore.
Läs mer om Cybersäkerhet för produkt- och utvecklingsteam här
