- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 193 zobrazení
Zatímco vývojáři a profesionálové v oblasti zabezpečení usilují o rychlé dodání zabezpečených aplikací, vývojovým týmům často chybí určité znalosti kódování. Tato mezera v zabezpečených rozvojových dovednostech vyplývá ze skutečnosti, že pouze jeden z nejlepších 24 bakalářských programů informatiky v USA vyžaduje, aby její studenti absolvovali bezpečnostní kurz. Toto platí ale i na českých vysokých školách.
V důsledku toho organizace často do SDLC zavádějí bezpečnostní brány, než aby ve svých vývojových týmech budovaly bezpečnostní znalosti. Tyto bezpečnostní brány jsou příčinou frustrace vývojářů, protože kontroly kódu snižují rychlost vývoje.
Namísto narušení vývoje pomocí bran mohou organizace implementovat program šampiónů zabezpečení, který do vývoje zabuduje bezpečnostní zábrany. Šampióni v oblasti zabezpečení jsou vývojáři se zájmem o bezpečnost a domovem ve vývoji a program jim pomáhá rozvíjet jejich zájem v odborné znalosti. Tyto mezifunkční odborné znalosti jim umožňují působit jako rozhraní mezi vývojem a bezpečností-dva týmy, které byly tradičně zablokovány.
Zde je pět důvodů pro implementaci efektivního programu pro podporu zabezpečení.
1. Zaměřte program na vývojáře
Aby získali vysokou úroveň účasti, vyžadují programy šampionů zabezpečení přístup zaměřený na vývojáře. Porozumění cílům, bolestným bodům a potřebám vývojáře je pro program základem, protože přijetí proběhne, pouze pokud je program zaměřen na usnadnění zabezpečení pro vývojáře.
2. Získejte buy-in pro vedení
Nejefektivnější zavádění programu šampiónů zabezpečení získává buy-in pro bezpečnost a inženýrství od začátku-nebo po malém pilotním projektu. Díky výkonnému sponzorství mohou vedoucí programu sdělovat cíle a očekávání až k bezpečnostním a vývojovým týmům, skrumážním mistrům a dalším.
Díky buy-inu vedení, vývojáři s větší pravděpodobností věnují čas a úsilí samotnému programu, protože se nebudou obávat, že budou penalizováni za provádění aktivit nesouvisejících s jejich rolí. To podporuje účast vývojářů a přispívá k úspěchu jakéhokoli programu pro podporu zabezpečení.
3. Jasně definujte očekávání
Programy šampiónů zabezpečení musí stanovit jasná očekávání rolí, odpovědností a aktivit. Tato očekávání by měla být v těsném souladu s potřebami a bolestivými body vývojářů. Začněte jednou nebo dvěma aktivitami, na které by se šampioni zabezpečení měli zaměřit, a přidávejte je, jak program roste.
Musí také existovat otevřená komunikace mezi bezpečnostními šampiony, šampionem a jejich vývojovým týmem a šampionem a jejich trenérem zabezpečení. Nastavení jasných očekávání, co znamenají role zabezpečení a co mohou lidé navzájem očekávat, což zajistí sdílení znalostí a zkušeností s bezpečností v celé organizaci.
4. Stanovte si měřitelné cíle
Abyste jasně definovali očekávání programu, nastavte si od začátku jasné KPI (Klíčové ukazatele výkonnosti). Mohly by zahrnovat metriky, které sledují účinnost, kterou šampióni zabezpečení přinášejí týmu zabezpečení a kanálu DevSecOps. Cíle také slouží jako základ pro stanovení návratnosti investic programu.
Například program šampionů zabezpečení může mít různá označení nebo úspěchy na základě dokončených certifikací, hodin práce na zabezpečení, významných výher v oblasti zabezpečení a dalších. To vývojáře povzbuzuje, aby se nejen stali šampióny v oblasti zabezpečení, ale také aby rozšiřovali své vlastní znalosti a zkušenosti v oblasti zabezpečení.
5. Rozpoznat úspěchy vývojářů
Nejlepšími bezpečnostními šampióny jsou ti, kteří se do programu zapojí dobrovolně. Organizace však mohou zvýšit přijetí tím, že odmění vývojáře za účast. Některé odměny a výhody by mohly zahrnovat bezpečnostní šampiónské vybavení, lístky na bezpečnostní konference jako DefCon a Black Hat nebo další možnosti vzdělávání.
Uznávání úspěchů vývojářů je navíc dalším vynikajícím způsobem, jak je zmocnit k tomu, aby v budoucnu pracovali na dosažení cílů souvisejících se zabezpečením. Interní uznání výkonným představitelem bezpečnosti nebo zmínka o vítězství v oblasti bezpečnosti během schůzek může velmi přispět k přijetí a úspěchu jakéhokoli programu pro ochranu bezpečnosti.
Díky vybudování programu šampiónů zabezpečení mohou organizace organicky urychlit bezpečný vývoj pomocí buy-inu od obou týmů.
Autor původního článku: Simon Maple
Překlad: Ondřej Strachota