Создание плана будущего DevSecOps
18 декабря 2023 г.В борьбе за превосходство в инновациях компании из разных отраслей все чаще участвуют в гонке цифровых вооружений с высокими ставками, включая операции разработчиков (DevOps) на передовой. Просто рассмотрим недавний отчет McKinsey, который обнаружил, что почти 70 % наиболее эффективных компаний используют свое программное обеспечение, чтобы отличаться от конкурентов, причем одна треть из них монетизирует свое программное обеспечение напрямую.
В условиях этого неустанного стремления к очередному конкурентному преимуществу команды по обеспечению безопасности (SecOps) изо всех сил стараются не отставать. Поскольку команды DevOps выпускают в среднем три новых обновления программного обеспечения каждый час, команды SecOps все чаще оказываются без весла, когда дело доходит до защиты данных и соответствия требованиям, не имея достаточных ресурсов, необходимых для управления постоянно растущим объемом и разнообразием. и скорость доступных данных. Поскольку уровень утечек данных продолжает расти, это, конечно, не позволяет компаниям успешно внедрять стратегии безопасности с нулевым доверием, которые во всех отраслях рассматриваются как стандарт цифровой трансформации.
Сейчас, более чем когда-либо, мы являемся свидетелями постоянно увеличивающегося разрыва между DevOps и их коллегами из SecOps, в результате чего разработчики настаивают на гибких приложениях, в то время как SecOps изо всех сил стараются служить необходимым временным препятствием на пути к соблюдению требований. Хотя искусственный интеллект и машинное обучение открывают большие перспективы как для DevOps, так и для SecOps, им еще предстоит пройти долгий путь, чтобы обеспечить полную безопасность инновационного программного обеспечения и самого ценного имущества компании — ее данных. Настало время создать культуру DevSecOps, которая объединяет и упрощает сотрудничество DevOps и SecOps для предоставления высококачественных продуктов и услуг, в основе которых лежит безопасность данных.
Вот как:
Шаг 1. Интеграция
Компании, стремящиеся создать сильную культуру DevSecOps, должны использовать совместный, основанный на решениях подход к интеграции отделов, начиная с установления четких указаний о том, как обе группы будут взаимодействовать друг с другом. Для DevOps это может означать создание условий, в которых разработчикам будет предложено обращаться к своим коллегам из SecOps для проверки соответствия требованиям, или (что еще лучше) создание гибкого процесса разработки, в который по своей сути встроены эти безопасные потоки данных. Для команд безопасности это может означать регулярное взаимодействие с DevOps для создания более прочных связей на каждом этапе жизненного цикла разработки приложений. Переосмысливая существующие процессы с учетом возможностей совместной работы и автоматизации, бизнес-лидеры могут внедрять инновации, не жертвуя при этом масштабируемостью и безопасностью.
Шаг 2. Стимулируйте
Чтобы успешно внедрить культуру DevSecOps, бизнес-лидеры должны рассмотреть способы стимулирования обеих организаций на протяжении всего жизненного цикла разработки. На начальном этапе компаниям понадобятся лидеры разработчиков, которые будут заинтересованы в продвижении и стимулировании участия в сообществе DevSecOps. Эти чемпионы-разработчики могут принести дивиденды, привлекая и удерживая в противном случае сдержанных участников к новым способам работы, подчеркивая преимущества этих новых программ теми, кто имеет непосредственный опыт.
Хотя эти стимулы могут принимать новые формы, и для них не нужно изобретать велосипед. Например, компании могут рассмотреть возможность внедрения программ вознаграждений, направленных на признание людей, которые придерживаются и демонстрируют культуру DevSecOps. Альтернативно, бизнес-лидеры могут включить цели DevSecOps в существующие планы стимулирования, сделав перекрестное сотрудничество основополагающим элементом производительности. Стимулируя сотрудничество, компании могут гарантировать, что и разработчики, и специалисты по безопасности будут чувствовать себя заинтересованными в повышении квалификации в области защиты данных и соблюдения требований, при этом обеспечивая, чтобы ключевые показатели эффективности безопасности и показатели качества соответствовали одним и тем же целям.
Шаг 3. Вдохновляйте
Конечно, реализовать оперативные смены на практике — это только половина дела. Бизнес-лидеры, стремящиеся создать успешную культуру DevSecOps, должны вдохновлять команды по безопасности и разработке использовать эти новые способы совместной работы. Это может потребовать реализации творческих, управляемых сообществом программ, которые объединяют эти две группы и облегчают сотрудничество, таких как онлайн-форумы сообщества, которые стирают организационные границы и упрощают обмен инструментами и лучшими практиками, принимают участие всех компаний, проводят регулярные сетевые мероприятия. или часы работы офиса. Более того, на ежегодной или полугодовой основе компании должны проводить регулярные проверки, чтобы понять, что работает, а что нет, внося любые корректировки, необходимые для быстрого устранения разъединений. По правде говоря, доверие — единственная основа, на которой может процветать гибкость. Потратив время на построение прочных отношений между отделами DevOps и SecOps, компании могут способствовать взаимному сотрудничеству и заставить обе стороны чувствовать себя комфортно, обращаясь друг к другу до, а не после возникновения проблемы.
Заключительные мысли
Поскольку компании продолжают ускорять цифровую трансформацию с головокружительной скоростью, разрыв между SecOps и DevOps будет становиться все более очевидным. Сейчас настало время разрушить институциональные барьеры между этими двумя исторически разобщенными организациями – и облегчить им это. Как и любой новый способ работы, внедрение DevSecOps требует нового мышления, которое можно принять только тогда, когда люди верят, что могут работать и приносить пользу — с наименьшими препятствиями на пути к успеху. Выполнив три шага, которые я описал выше, бизнес-лидеры смогут проложить легкий путь к своему будущему DevSecOps.
Оригинал