¿Cómo ganar credibilidad para su aplicación?

3

Supongamos que ha creado una aplicación. Realmente no importa qué tipo de aplicación, pero la seguridad de la aplicación es una característica muy importante.

¿Cómo procedes para obtener cierta credibilidad de que tu aplicación es segura?

Por supuesto, solo podría decir "sí, es muy seguro porque utiliza el cifrado de última generación (nombre del algoritmo de conexión aquí) y ..." pero eso es solo un rumor. Necesitas algún tipo de mejor prueba, ¿no? Entonces, ¿qué puede ayudar a convencer a otros de que su aplicación es segura?

    
pregunta Gudradain 26.01.2017 - 22:45
fuente

3 respuestas

5

Hay varios enfoques populares para esto.

Primero, es conseguir que un auditor externo e independiente responda por usted. Esto es más efectivo si se hace con un nombre conocido (por ejemplo, haga que Troy Hunt responda por usted, o Charlie Miller si está en el sistema operativo de Apple), o un nombre familiar enorme (si su mercado objetivo no es técnico / gente no segura) - por ejemplo, E & Y, o Accenture.

Llevando esto un paso más allá, puede obtener la acreditación de un reglamento o certificación de terceros. Este es posiblemente el más popular, y es probable que IMO sea el menos efectivo.
Esto podría ir desde PCI-DSS (que tendría que hacer de todos modos si maneja tarjetas de crédito), hasta el infame "HackerSafe" (creo que ahora se llama "McAfeeSECURE !! 1!"). De cualquier manera, en realidad no muestra ninguna calidad real, y en algunos casos es fácil de falsificar. tos tos

Hay una tercera opción, que es mucho más difícil de hacer bien, pero mucho más efectiva, particularmente con aquellos que más entienden lo que esto significa. Esta opción requiere dos pasos:

  1. En realidad, estar seguro y tener un proceso sólido para asegurar esto;
  2. Compartir detalles de ese proceso y lo que realmente implica.

Estar seguro es una pregunta mucho más amplia y está fuera del alcance de esta respuesta; Es obvio que compartir los detalles es mucho menos común en las grandes empresas, aunque estoy empezando a ver esto en más empresas nuevas e incluso en empresas más grandes, pero técnicas.

Esto podría incluir información sobre su SDLC; explicaciones de sus requisitos de seguridad; detalles técnicos sobre su implementación; posiblemente una recompensa de errores abierta, pero al menos una declaración de respuesta a los investigadores ( y siga adelante! ); tal vez incluso abre tu base de código, si es relevante; Y así sucesivamente y así sucesivamente.

Obviamente, necesitaría un experto en seguridad con experiencia para ayudarlo a que su aplicación sea segura; Una muy buena podría ayudarlo a "abrir el kimono" de manera productiva y segura. Hecho bien, esto podría incluso aumentar los esfuerzos de marketing, y aún así no revelar ningún detalle sensible que podría ayudar a un atacante a pasar por alto sus controles.

A menudo, los profesionales de seguridad de la vieja escuela (especialmente aquellos con antecedentes corporativos) insistirán en no revelar nada; pero no solo esto no debería aumentar el riesgo o la superficie de ataque (si se hace correctamente), definitivamente puede ayudar a disipar los posibles temores o preocupaciones de los clientes, especialmente si entienden lo que están leyendo.
Solo asegúrate de tener a alguien que sepa lo que están haciendo.

    
respondido por el AviD 26.01.2017 - 23:26
fuente
2

De lejos, la forma más fácil de ganar credibilidad:

  1. Armar una aplicación segura.
  2. Publicar el código fuente.
  3. Use comentarios y críticas para mejorar la aplicación mientras construye credibilidad.

Software centrado en la seguridad que en realidad es algo seguro, como Signal Private Messenger o SELinux tienen esto en común, y es una forma de ganar credibilidad.

Además de permitir que su código sea auditado y examinado, marketing generalmente puede generar un sentido de credibilidad y seguridad para el mercado que no tiene en cuenta la seguridad (la mayor parte del mercado).

    
respondido por el andDevW 26.01.2017 - 23:10
fuente
1

Ofrezca públicamente cubrir a sus clientes por cualquier pérdida. Lifelock, por ejemplo, ofrece $ 1 millón en cobertura si su identidad es robada mientras se suscribe al servicio.

Ahora, tal vez no tienes un millón de dólares. Pero puede obtener una política de seguro de ciberseguridad pagando una tarifa (como cualquier otra política de seguro). Supongo que la compañía de seguros deseará inspeccionar su código y exigir que cumpla con ciertos estándares, o al menos mantenerlo en custodia.

    
respondido por el John Wu 28.01.2017 - 02:44
fuente

Lea otras preguntas en las etiquetas