ممارسات تطوير البرمجيات لمواجهة المخاطر الحقيقية

Khaled AlZahrani2026-03-05

3 دقائق

Software Development Practices Help Enterprises Tackle Real-Life Risks

تعتبر ممارسات تطوير البرمجيات أداة حيوية لمساعدة المؤسسات في مواجهة المخاطر الحقيقية التي تهدد أمنها. في هذا المقال، نستعرض كيف يمكن دمج الأمن في ثقافة الشركة من خلال استراتيجيات فعالة.

ممارسات تطوير البرمجيات تساعد المؤسسات في مواجهة المخاطر الحقيقية

لم تعد الأمن السيبراني محصورة في مركز عمليات الأمن (SOC)، حيث تتدفق التهديدات من التوظيف الجديد، وسياسات الحوكمة الضعيفة، أو البائعين من الأطراف الثالثة الضعيفة. ما كان يُعتبر مسؤولية SOC أصبح الآن يمتد إلى أدوار عبر المؤسسة، من الموارد البشرية والمحاسبين إلى موظفي الاستقبال.

كما أن الخط الفاصل بين ما يُعتبر قضية أمنية وما لا يُعتبر كذلك يستمر في التلاشي مع inundation التكنولوجيا لعمليات الأعمال. ومع ذلك، يمكن تطبيق الأطر الأمنية مثل دورة حياة تطوير البرمجيات (SDLC) التي تحدد خططًا محددة لدمج الأمن من البداية، على ما يبدو عادةً كقضية غير متعلقة بالأمن.

من خلال اتباع SDLC، يمكن للمؤسسات تقسيم المشاريع المعقدة إلى خمس فئات بسيطة: التخطيط، التصميم، التطوير، النشر، والصيانة، كما يوضح ماثيو إيفرمان، مدير الأمن المعلوماتي في مركز الأمن السيبراني. سيساعد ذلك في تضمين الأمن في ثقافة الشركة.

منحنى خطير قادم

طور إيفرمان هذا المفهوم بعد ملاحظته لعملية اكتساب المواهب. بينما تُدار عادةً من قبل الموارد البشرية، تشارك فرق أخرى، مثل تكنولوجيا المعلومات، الحوكمة، والقانون.

يمكن أن يقدم الموظفون الجدد والموظفون السابقون مخاطر أمنية إلى البيئة. على سبيل المثال، في عام 2024، قامت KnowBe4 عن طريق الخطأ بتوظيف عنصر تهديد كوري شمالي كمهندس برمجيات بدا أنه يمتلك خلفية تحقق مشروعة.

لا تقتصر المخاطر على عملية التوظيف. عندما تقوم المؤسسات بإنهاء خدمات الموظفين، غالبًا ما تنسى إلغاء الوصول، مما يترك الحسابات مفتوحة على مصراعيها للمهاجمين للاستيلاء عليها سرًا.

في حالة اكتساب المواهب، قسم إيفرمان العملية إلى فئات تتماشى مع سير العمل المعتاد للتوظيف – بما في ذلك وصف الوظيفة، نشر الوظيفة، المقابلة، التوظيف، والتوظيف الخارجي. لمعالجة التهديدات المماثلة لتلك التي واجهتها KnowBe4، يقترح إجراء ملف تعريف للتهديد حتى تتمكن الشركات من تحديد “مدى خطورة هذه الوظيفة على مؤسستي إذا قمت بتعبئتها بالشخص الخطأ”، كما يقول.

يمكن أن تتبع عمليات اكتساب المواهب أيضًا نهج مراقبة التهديدات لفرق الأمن لتقليل المخاطر. في شركات سابقة، أضاف إيفرمان عناوين IP المنزلية إلى قائمة الحظر VPN بعد مغادرة الموظفين. على الرغم من أن قائمة الحظر يمكن أن تكون سهلة التجاوز، إلا أن المؤسسات قد لا ترغب في عودة ذلك الموظف، خاصة إذا كان مستاءً.

تدريب ثقافة الأمن

يعد تدريب ثقافة الأمن عنصرًا رئيسيًا آخر في عملية اكتساب المواهب. يوصي إيفرمان بأن تجمع المؤسسات معلومات مفتوحة المصدر بمجرد أن يتم توظيف شخص ما، ومراقبة نشاطه على وسائل التواصل الاجتماعي للتحقق مما إذا كانت فكرته عن المخاطر المقبولة أو الامتثال تتماشى مع الشركة.

قد يظهر الموظف الجديد بطاقة هويته الجديدة ويعلن على وسائل التواصل الاجتماعي أنه حصل على وظيفة جديدة. بالنسبة لبعض الأشخاص، يبدو أن ذلك مجرد حماس. لكن بالنسبة لإيفرمان وفريقه الأحمر، فإن ذلك يمثل فرصة لسرقة صورة الهوية وإحداث بعض الضرر. مثل القضايا الأخرى التي تبدو غير مرتبطة بالأمن، قد تبدو غير ضارة ولكن “هناك خطر هناك”، كما يقول.

تغيير طريقة التفكير

“الآن أكثر من أي وقت مضى، تنتشر فرق الأمن والحوكمة”، يقول إيفرمان. “لم تتغير الأعمال، لكن التكنولوجيا الناشئة مثل الذكاء الاصطناعي تتحرك بسرعة، مما يجعل التنفيذ للأشياء يتحرك بسرعة. الأمور التي كنا نستطيع أن نتعامل معها بشكل رد فعل قد لا تكون في مصلحتنا الآن.”

توقف عن التصادم

نفذ إيفرمان هذا النهج داخليًا. وقد أدى ذلك إلى تحسين المحادثات أكثر من أي وقت مضى مع الفرق، كما يقول. لقد توسعت المحادثات لتشمل فرق إدارة المشاريع أيضًا، لأنه من المهم أن يتم تضمينهم في تلك المحادثات مبكرًا، كما يضيف.

“نحن ندمج مكونات الأمن لدينا في مراحل التخطيط الخاصة بهم، لذا يقومون بإدراج الأشياء في الأماكن التي ينبغي أن تكون فيها”، كما يقول. “من نتحدث إليه يتغير أكثر من أي شيء آخر. نتحدث إلى صانعي القرار الرئيسيين وتلك المحادثات التي كانت تُجرى سابقًا مع CISO.”

في عالم يتغير بسرعة، من الضروري أن تتبنى المؤسسات ممارسات تطوير البرمجيات التي تعزز من أمنها وتقلل من المخاطر. من خلال دمج الأمن في جميع جوانب العمل، يمكن للمؤسسات أن تظل في صدارة التحديات المستقبلية.

الوسوم