Perché per i CISO è Arrivato il Momento di Adottare la Metodologia DevSecOps

L'associazione della metodologia DevOps con la sicurezza offre guadagni in termini di efficienza, riduzione rischi e vantaggi culturali.

Mentre quasi un'azienda su cinque afferma di rilasciare codice 10 volte più velocemente rispetto al passato, avere più software significa andare incontro a più falle di sicurezza e maggiori opportunità per gli hacker di trarne vantaggio.

Il ritmo più veloce e l'aumento dei rischi evidenziano la necessità per i leader IT di prendere sul serio l'adozione della metodologia DevSecOps, un approccio di gestione che rende la sicurezza una responsabilità condivisa tra i team di sviluppo, sicurezza e operazioni IT.

Secondo 451 Research, parte di S&P Global Market Intelligence, l’evidenza che DevSecOps sta guadagnando terreno in azienda è confermata dal fatto che quasi la metà dei team di sviluppo ha utilizzato strumenti di sicurezza delle applicazioni nel 2020, rispetto a poco meno del 30% nel 2015.

DevSecOps è la metodologia e la pratica di approcciarsi alla sicurezza insieme allo sviluppo ed alle operazioni fin dall'inizio del processo di sviluppo del software. La formazione di questi team promuove una responsabilità condivisa per la sicurezza, nonché un mezzo semplificato per identificare e correggere le vulnerabilità più rapidamente.

“DevSecOps crea anche un vantaggio culturale per le organizzazioni: promuovere la condivisione delle conoscenze e un ambiente all-for-one in cui gli esperti di dominio imparano gli uni dagli altri”,

afferma Mandy Andress, Chief Information Security Officer di Elastic. Andress ha implementato pratiche e processi DevSecOps da quando è entrata in azienda nel 2018.

Per i CISO che considerano una transizione alla metodologia DevSecOps, ecco alcune strategie raccomandate dagli esperti per guidare l'implementazione.

Includi in Anticipo le Attività di Sicurezza

Storicamente, gli ingegneri del software e i team di sicurezza non sono mai stati stretti collaboratori. Per gli sviluppatori, i professionisti della sicurezza sono coloro che rallentano il ritmo rapido dei lanci e degli aggiornamenti del software.

I professionisti della sicurezza vedono gli sviluppatori troppo impazienti di distribuire codice senza tener conto della gestione del rischio.

DevSecOps è stata concepita, in parte, per costruire un ponte tra le due fazioni. Uno dei compiti principali della metodologia DevSecOps è quello del cosiddetto spostamento “shift left", il che significa che le attività di sicurezza che potrebbero essersi verificate più avanti nel ciclo di sviluppo, o all'estrema destra su una sequenza temporale, si svolgono all'inizio della fase di progettazione.

Inoltre, lo spostamento a sinistra rafforza il vantaggio culturale dell'integrazione della sicurezza in ogni aspetto dello sviluppo e dell'implementazione del prodotto.

In precedenza, i team di sicurezza non venivano coinvolti per condurre test di sicurezza, un'attività ad alta intensità di lavoro, fino a quando gli sviluppatori non scrivevano il loro codice.

Con la metodologia DevSecOps, i team avviano i test durante le prime fasi di sviluppo. Ciò accelera lo sviluppo generale identificando le falle di sicurezza abbastanza presto da evitare di costringere gli ingegneri a tornare indietro e apportare modifiche sostanziali.

"La necessità per gli sviluppatori e per chiunque lungo il ciclo di avere competenze di sicurezza di base è diventata essenziale",

afferma Jayne Groll, CEO del DevOps Institute, un gruppo che offre programmi di formazione e certificazione per le pratiche DevSecOps.

"Non possiamo più considerare la sicurezza come qualcosa da poter attuare in un secondo momento".

Il Valore di un Campione da High Ranking

“Come ogni grande cambiamento nello sviluppo tecnologico, la metodologia DevSecOps deve essere guidata da un manager di alto livello, in genere un CIO, CISO o un IT Decision Maker”,

afferma Bill Curtis, direttore esecutivo del Consortium for IT Software Quality.

Se è fondamentale fornire l'accesso agli strumenti di sicurezza delle applicazioni, lo è anche la dirigenza senior per assicurarsi che la sicurezza sia una vera e propria priorità rispetto alle nuove funzionalità.

Un leader DevSecOps efficace può decidere che i team dedichino più tempo per eliminare eventuali vulnerabilità invece di introdurre nuove funzionalità, come afferma Curtis.

Condividi le Competenze

Molti team di sviluppatori, sicurezza e operazioni IT devono essere ispirati, persuasi o obbligati a condividere le proprie competenze, una sfida che le persone con competenze altamente tecniche possono trovare difficile quando lavorano al di fuori del loro dominio.

I team leader possono essere d’aiuto tenendo sessioni in modo che tutti i gruppi comprendano l'impatto sul business degli altri due e assicurandosi che le metriche di tutti tengano in considerazione la sicurezza. Gli sviluppatori saranno più propensi a chiedere consiglio alle loro controparti di sicurezza e sarà più probabile che i team di sicurezza lo diano,

afferma Groll,

"Il più grande ostacolo alla metodologia DevSecOps è tanto umano quanto tecnico", dobbiamo essere a nostro agio uscendo dalle nostre tradizionali zone di comfort".

L’Importanza della Flessibilità

“Non esiste un progetto valido per tutte le implementazioni di DevSecOps”,

afferma Andress. Piuttosto, i leader devono stabilire i confini necessari e dare ai team la libertà di operare al loro interno.

“In Elastic, chiediamo ai team di sicurezza di impostare i framework per il funzionamento dei test di sicurezza e di assicurarci che gli sviluppatori dispongano degli strumenti e dei processi giusti per lavorare in questi framework",

afferma Andress.

"Poi possono capire cosa è meglio in termini di tempistica e quali processi adottare".

La Marina degli Stati Uniti, ad esempio, ha recentemente lanciato un programma DevSecOps con un processo incentrato su questioni culturali piuttosto che tecniche.

Il gruppo ha nominato tre leader per sostenere le esigenze di prodotti, ingegneri e utenti finali. Quindi ha istituito il team interfunzionale nella propria sede e ha tenuto sessioni per sviluppare un "contratto sociale" su come i membri di diverse discipline avrebbero interagito e su come desiderassero essere trattati.

Utilizzando il nuovo processo su un primo progetto, per creare un nuovo strumento per la programmazione della manutenzione degli aeromobili, la Marina ha completato un prodotto che ha soddisfatto tutti i requisiti di sicurezza in soli sei mesi.

Come con qualsiasi cambiamento culturale, l'inerzia aziendale può diventare un ostacolo. Ciò è ancora più vero quando si tratta di fondere tre culture distinte in una. Ma data la necessità di mantenere il ritmo dell'innovazione e migliorare la sicurezza, è una sfida che molte aziende non possono più rimandare.

CISO Takeaways

  • Assicurati che i team di sviluppo, sicurezza e operativi condividano continuamente le competenze per identificare e risolvere i problemi di sicurezza in anticipo;
  • Nomina un dirigente o un leader di livello senior che possa sostenere i vantaggi culturali derivanti dall'adozione di DevSecOps;
  • Non esiste un modello valido per tutti i DevSecOps; i leader dovrebbero stabilire i confini necessari e dare ai team la libertà di operare al loro interno.

Elastic e Florence Consulting continueranno ad essere presenti per aiutare i team di sicurezza ad affrontare questi cambiamenti.

Se vuoi avere maggiori informazioni su Elastic invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.

In alternativa, puoi compilare il form sottostante con la tua domanda.