DevSecOps: Gli ostacoli alla sua attuazione nella vostra organizzazione

Anche le organizzazioni che, nella teoria, comprendono l’importanza della sicurezza spesso inciampano quando si tratta di sposare le iniziative di sicurezza con i loro processi di sviluppo ed operativi.

Esiste sovente un enorme divario tra le intenzioni e la realtà quando si tratta di implementare e praticare DevSecOps, cioè procedere nell’integrazione e nell’allineamento della sicurezza con le pratiche DevOps.

La maggior parte delle organizzazioni concorda sul fatto che tutti dovrebbero essere responsabili della sicurezza, ma questo principio non viene sostenuto giorno per giorno in molte realtà.

Esamineremo nel seguito le motivazioni più rilevanti sul perché la visione di DevSecOps non riesce a divenire una realtà in molte organizzazioni. Esploreremo gli ostacoli e gli atteggiamenti al fine di evidenziare ciò che si riscontra anche nelle organizzazioni in cui una posizione di sicurezza più forte è un obiettivo esplicitamente dichiarato.

1) Disponibilità a sacrificare la sicurezza per la velocità

Moltissime organizzazioni riducono le misure di sicurezza per rispettare una scadenza o un obiettivo aziendale.

Nell’odierno mondo competitivo, la velocità di innovazione e di esecuzione è ciò che guida il business, permettendogli di scalare ed essere competitivo. Rallentare le revisioni del codice o il deployment può significare un impatto diretto sulla fatturazione, così come sulla soddisfazione del cliente.

Tuttavia, è in realtà un mito che l’impiego delle best practice di sicurezza rallenti necessariamente l’innovazione. Le aziende che allineano la sicurezza con gli obiettivi di business hanno infatti prestazioni migliori sia in termini economici, che in termini di immagine.

2) La leadership non sostiene DevSecOps

Se la leadership aziendale non è a bordo di DevSecOps, allora è quasi impossibile convincere il resto dell’azienda.

La pressione a muoversi il più velocemente possibile, senza considerare la sicurezza informatica, spesso viene dall’alto. Quando la direttiva di privilegiare la velocità parte dall’alto, è difficile da ignorare. Ciò significa però che la sicurezza diventa quasi sempre la prima vittima.

3) La sicurezza rimane isolata

Nonostante il fatto che le aziende vogliano che la sicurezza sia integrata con l’organizzazione, questo accade raramente. Il più delle volte, la sicurezza è isolata.

Raramente uno specialista della sicurezza è assegnato ai team operativi ed ancora più raramente i professionisti della sicurezza sono a bordo dei team di sviluppo.

Nella maggior parte delle organizzazioni, la sicurezza è un team completamente separato che viene coinvolto solo quando necessario. Cioè troppo tardi…

4) Gli sviluppatori non possono codificare in modo sicuro

Anche se non è l’ideale, non sarebbe un problema così grande per la sicurezza essere isolata se non fosse per il fatto che almeno la metà degli sviluppatori non è addestrato a codificare in modo sicuro.

Senza questa conoscenza di base, la codifica è spesso fatta senza pensare alla sicurezza. Questo fa sì che la sicurezza diventi un collo di bottiglia quando deve inevitabilmente intervenire. Questo non solo rallenta il processo, ma crea anche attrito tra questi team, rendendo ancora più difficile la loro collaborazione.

5) Le operazioni non hanno una formazione sulla sicurezza

Buona parte del personale operativo non è formato in merito alle pratiche di sicurezza di base, il che significa che non può configurare gli ambienti, siano essi di sviluppo, test oppure di produzione, in modo sicuro.

Ciò significa anche che il personale operativo non vede l’implementazione della sicurezza come parte del processo di gestione della configurazione, il che permette alle best practice di sicurezza di cadere nel dimenticatoio.

Quando i professionisti delle operazioni non sono addestrati alla sicurezza, non c’è modo per cui DevSecOps possa avere successo.

Conclusioni

Anche se gli ostacoli che abbiamo delineato sono significativi, le organizzazioni stanno trovando il modo di superare queste sfide per far corrispondere meglio i loro intenti alla realtà. Molte stanno dotando i C level