일반적인 상식과 달리, 앱 보안 계획은 단순히 도구와 기술을 활용해 보안 위협으로부터 기업 제품과 브랜드 이미지를 지키는데 그치지 않습니다. 이는 최고의 보안 모범 사례를 개발 방법론의 일환으로 도입하고 이를 개발 문화의 한 부분으로서 흡수하도록 각고의 노력을 기울이도록 경영진과 개발자들을 설득하는 것이기도 합니다. 이들의 승인은 앱 보안 계획이 지속 가능하고 효율적으로 실행되도록 하는데 필수적입니다.
이 두 그룹을 기획 단계부터 참여시키는 것은 이후 시행 단계에서 번거로운 일이 생기는 걸 예방하여 보안 프로그램이 시작하기도 전에 지연되지 않도록 해줍니다. 앱 보안에는 비용이 수반되므로, 경영진들은 잘 설계된 적합한 계획이 어떻게 효과적으로 기업 이익에 기여하는 데 성공할지 알아야 합니다.
개발팀의 의견이 왜 중요한가
보안 생애주기 전반에 걸쳐 개발자를 신뢰하는 것이 일반적으로 도움이 됩니다. 질문, 체크리스트, 집중 토론 및 인터뷰를 사용해 개발자들과 브레인스토밍을 하는 작업은 실행 가능한 앱 보안 정책 고안을 확실히 성공하게 만듭니다. 브레인스토밍의 결과물에는 안전한 코드를 개발하는 전체 계획에 앱 보안 계획이 적합하게 맞아들어가는지를 보여주는 요구 평가 보고서가 포함될 것입니다.
앱 보안 계획을 제안하기 전, 개발팀의 우선 순위를 평가하고 시각화하는 것은 보안이 개발 워크플로우에 빈틈없이 매끄럽게 통합되기 위해 큰 도움이 됩니다. 개발 및 테스트 팀을 훈련시키기 위한 포괄적인 실제 훈련 프로그램부터 시작하는 것이 우수 사례를 도입하기 위한 좋은 방법이 될 수 있습니다.
기존 시나리오와 안전한 개발 생애주기 시나리오의 비용 편익 분석을 진행하는 것은 강력한 앱 보안 요구사항을 더 잘 실현하는데 도움을 줍니다. 보안이 소프트웨어 개발 생애 주기에 더할 가치는 명확하고 철저하게 고려되고 또한 소통되어야 합니다.
지속적인 승인을 받으려면 개발팀의 우려사항을 파악하십시오. 개발팀의 우려사항을 이해하고, 이것을 앱 보안 계획의 일부로서 다루는 것은 제안된 보안 정책을 개발팀이 승인할 확률을 눈에 띄게 높일 것입니다.
모든 이해 관계자와 협의하여 보안 로드맵을 준비하고, 전체 개발 과정에서 식별된 보안 요소를 매핑하시기 바랍니다. 보안 로드맵은 모든 이들이 소소한 세부사항만 다루는데 함몰되는 대신 전체 보안 프레임워크를 시각화할 수 있게 합니다.
데브옵스 워크플로우를 간소화하기 위한 자동화 도구의 위력은 전세계적으로 매우 잘 알려져 있습니다. 개발자들에게 철저한 개발-테스트 워크플로우가 안전한 상품을 만들고 제로데이 공격의 발생 가능성을 얼마나 피할 수 있게 하는지 설명해 주십시오.
경영진들의 승인 획득
개발팀을 회유하였다면, 이제 경영진들을 설득할 시점입니다.
두 가지 종류의 회사가 있습니다. 보안 이벤트를 다루는 데 경력이 있는 회사와 이를 전혀 알아차리지 못하는 회사입니다. 경영진들에게 이런 힘든 사실을 알리는 것은 이들에게 매우 필요한 보안에 대한 관점을 선사합니다. 궁극적으로 적절한 보안 프레임워크를 발전시키는 요인은 일회성 시행이 아니라, 여러 기초적인 요소를 한 데 모으는 것입니다.
강력한 앱 보안 접근법을 시행하기 위해 기업은 다음과 같은 정책을 수립할 수 있습니다:
- 앱 보안 계획이 어떻게 조직에 이익을 안길 수 있는지 비즈니스 케이스로 보여줍니다. 앱 보안이 주는 이익을 비용대비 효율 분석과 트렌드 분석을 통해 설명합니다. 앱 보안을 기업 목표 및 우선사항으로 다룸으로써, 특히 주요 기술 관련 예산 경비를 정하는 시점에 경영진들의 승인을 얻을 가능성을 높일 수 있습니다.
- 앱 보안의 중요성을 강하게 보여주기 위해 다른 조직의 케이스 스터디를 제시하는 것은 앱 보안이 얼마나 긍정적인 결과를 이룰 수 있게 해주었는지 보여주는 데 도움이 됩니다. 더 나아가 조직 내 보안 사건들과 이의 영향은 경영자들이 통합적인 조직적 관점에 이르도록 설득하는 데 사용될 수 있으며 기업 수준의 해결책을 도입하도록 할 수 있습니다.
- 실제 보안 사고가 났을 때 이를 진화하기보다는, 강력한 보안 로드맵을 사용하여 제품 내 보안을 구축하는 사전 예방적 접근 방식을 채택하는 것이 얼마나 강력한 것인지 경영진을 설득합니다. 아무 대안도 없는 것보다는 보안 대책을 갖춘 게 낫습니다!
- 보안을 사업에 영향을 미치는 변수들과 동기화합니다. 보안 위협이 제품 출시 계획, 사업가치 창출, 브랜드 가치, 방치했던 취약성에서 기인한 리스크 및 주주 만족 등에 영향을 끼칠 수 있는지를 분석하고 제시합니다. 듣는 이들이 실제로 중요하게 여기는 셀링 포인트를 전하는 것은 앱 보안 필요성에 대한 논쟁을 마무리 짓는 데 필수적입니다.
- 집중된 앱 보안 계획에 투자하는 이점을 일반적인 사이버 보안 프로그램에 투자할 시와 비교하여 제시합니다. 아니면 그 영향을 수량화해 더 명확히 보여주기 위해, 대시보드와 보고서를 사용해 현 상황과 미래 핵심 성과 지표에서 달성될 성취를 제시합니다.
앱실링은 짧은 기간동안 보안 솔루션 공급 시장에서 이름을 떨쳐왔습니다. 앱실링의 넓은 고객군은 앱실링 제품 경험과 보안 분야 내 영향을 증명합니다. 앱실링의 실시간 공격 핸들링 대시보드를 사용하여, 기업은 앱 보안 접근 방식의 취약성을 감시하고 미세 조정하여 새로운 위협과 기존 위협으로부터 대비할 수 있습니다.