כותבים מערכת תוכנה? מגיעים לתחזק מערכת? או שאולי מוסיפים פיצ'ר לפרויקט ישן? על הדרך בואו ננסה לברר מה רמת אבטחת המידע של המערכת, ואולי נחסוך לעצמנו מבוכה.

1. מידע

1. איזה מידע המערכת שלכם שומרת?
2. איזה מידע המשתמשים שלכם היו מעדיפים שלא יצא החוצה? מה אתם עושים כדי לשמור על המידע הפרטי שלהם?
3. איזה מידע אתם לא רוצים שיצא החוצה? מה אתם עושים כדי לשמור על מידע זה?
4. על איזה מידע אתם לא מגינים?
5. איפה נשמרים הגיבויים?
6. מתי בפעם האחרונה ביצעתם ניסוי התאוששות מגיבוי?
7. האם אתם שומרים היסטוריית שינויים על המידע? מתי ניסיתם להוציא מידע ישן מההיסטוריה?
8. האם המידע נשלח מוצפן (HTTPS) ללקוחות שצריכים אותו?

2. תהליך עבודה

1. האם אתם מקיימים בדיקות חדירות באופן תקופתי?
2. האם אתם יודעים לחזור לגירסא ישנה יותר של המערכת לאחר Deploy, אם גיליתם שגיאה חמורה בגירסא החדשה?
3. איך אתם מוודאים שהפרויקט לא כולל גירסאות תוכנה ישנות עם פרצות ידועות?
4. האם אתם משתמשים בכלים אוטומטיים הבודקים בעיות אבטחה נפוצות?
5. האם קל לדווח לכם במקרה שמצאתי תקלת אבטחה במערכת?

3. תלויות

1. באיזה ספריות קוד (חיצוני) אתם משתמשים? באיזה גירסאות?
2. איזה ספריות קוד יש בפרויקט שלכם בגירסאות ישנות שלהן?
3. מה גירסת מערכת ההפעלה שלכם? האם יש גירסא חדשה יותר?

4. שירותים חיצוניים

1. באיזה שירותי צד-שלישי אתם נעזרים?
2. מה קורה אם אחד מהם מפסיק לעבוד?
3. מה החוזה שלכם עם הספק של אותו השירות? האם יש לכם איש קשר שזמין במקרה של תקלה שם?

5. עכשיו אתם

יש לכם רעיונות נוספים לשאלות אבטחת מידע מעניינות? אשמח לשמוע בתגובות.