Gefahren durch IT-Anwendungen unterschätzt: Sicherheit leidet unter hohem Zeitdruck bei der Anwendungs- und App-Entwicklung.

Die aktuelle, von IBM gesponserte Studie des Ponemon Institute zur Sicherheit von IT-Anwendungen kommt zu einem erschreckenden Ergebnis: Über zwei Drittel der mit Anwendungssicherheit beschäftigten Mitarbeiter kennen nicht einmal alle in ihrer Organisation aktiven Applikationen und Datenbanken. Fast die Hälfte unternimmt nichts gegen Risikoanwendungen und rund ein Drittel testet diese nicht richtig auf Schwachstellen. Der Grund dafür: Softwareentwickler leiden unter zu hohem Fertigstellungsdruck, sagt über die Hälfte der Befragten – die Sicherheit fällt oft unter den Tisch.

»Raushauen statt reinschauen – so ließe sich derzeit die Devise der Anwendungsentwickler formulieren, die unter immer höherem Zeitdruck bei der Fertigstellung leiden«, sagt Gerd Rademann, Business Unit Executive, IBM Security Systems DACH. »Weil Applikationen vor der Veröffentlichung nicht richtig geprüft werden, kommt es zu immer mehr Schwachstellen, denen die betroffenen Organisationen kaum noch gewachsen sind.«

Das Ponemon Institute hat in den USA rund 630 Personen zur Sicherheit der von ihrer Organisation eingesetzten IT-Anwendungen befragt. Mitarbeiter aus Unternehmen, von Non-Profits oder aus dem öffentlichen Sektor – vom einfachen Angestellten bis hin zum Top-Manager – standen Rede und Antwort. Dabei kam unter anderem heraus, dass über zwei Drittel (69 %) der Befragten nicht einmal alle aktiven Applikationen und Datenbanken in ihrer Organisation kennen, obwohl sie für deren Sicherheit zuständig sind.

Egal ob bei Finanzdienstleistern, im Gesundheitssektor oder bei Behörden – überall herrscht Unsicherheit, was die Sicherheit von IT-Anwendungen angeht. Als Grund dafür gibt über die Hälfte (56 %) der Befragten den hohen Fertigstellungsdruck an, der Entwickler dazu bringt, ihre Applikationen möglichst schnell zu veröffentlichen. Fast die Hälfte (48 %) sagt sogar, ihre Organisation unternimmt keine Anstrengungen, um Gefahren, die von Anwendungen ausgehen zu beseitigen und über ein Drittel (35 %) setzt keine der gängigen Methoden ein, um diese auf Schwachstellen zu prüfen.

Einen Blogpost von IBM zur Ponemon-Studie finden Sie unter: https://ibm.co/1LWOU4I oder https://securityintelligence.com/

Mehr Informationen zur Ponemon-Studie: https://securityintelligence.com/events/ponemonapplicationsecurityriskmanagement/

---

 

Break the Rush-to-Release Cycle and Secure Your Expanding App Infrastructure

While the picture painted by the recent survey results are grim, there are simple steps that organizations can take to break the rush-to-release cycle and secure their growing application empires. In a nutshell, organizations need to move from a whack-a-mole approach of fixing applications one at a time to a more strategic risk management framework.

Here are a few steps IBM recommends to get you started.

 

1. Get the Full Picture

• Coordinate with other divisions and geographic regions to determine which apps are actively being utilized throughout your organization. Maintain a list of the applications, update it on a regular basis and track your remediation progress.
• Determine which apps are past their support life spans and find out how you’re protecting them.
• Conduct an inventory of applications that are still active but not used or monitored. In most cases, their end of life should be determined immediately and user access should be terminated.

 

2. Unify Practices

According to the study, 65 percent of sampled respondents said their organizations have fragmented security practices carried out at low levels in the organization.

We recommend the following actions to better unify application security across the enterprise:

• Educate executive management about security risks associated with the expansion of application usage. Demonstrate how a potential breach of a critical application could significantly impact your organization’s brand image and its bottom line.
• Select a division within your organization that effectively manages application security and incorporate its best practices into businesswide educational programs. Spotlight areas where that division has reduced costs or significantly lowered the potential impact of vulnerabilities.

 

3. Staff Up

The survey found that 70 percent of respondents believed they didn’t allocate sufficient resources to ensure business-critical apps are kept secure.

You should:

• Invest in security training for your app development teams and leverage automated application security testing solutions such as IBM Security AppScan to permit developers to test applications quickly, efficiently and independently.
• Take time to assess which of your applications are truly mission-critical crown jewels. Examples of crown jewels could be privileged finance, customer relationship management (CRM) and e-commerce applications. Focus on protecting those applications first and target remediation efforts on the most significant vulnerabilities in those applications.
• Reframe executive management’s mindset by educating them on potential costs associated with security breaches. Following that approach will remind them that effective security protection is way more than a cost center.

 

4. Get a Handle on Vulnerabilities

In the study, 46 percent of respondents confessed that growth in security vulnerabilities prevents their security posture from being effective.

We recommend the following actions:

• Utilize application security testing technology that ties into evolving threat data, which will permit you to become more effective at remediating high-priority app vulnerabilities.
• Learn more about IBM’s Cognitive Intelligent Finding Analytics capabilities. This dramatically reduces the number of testing results that you need to manage after conducting noisy SAST analysis, which produces a high volume of vulnerability findings.
• Working in conjunction with your management team, decide which risks are too inconsequential or unlikely to have a significant impact on your business. You may wish to accept those app risks.

 

In summary, only when organizations assess the full scope of their application security preparedness can they begin to prioritize and reduce risks that are introduced by rapidly growing application infrastructures.