Geliştirme ve güvenlik ekipleri arasındaki asırlık gerilim, kuruluşlarda uzun süredir bir sürtüşme kaynağı olmuştur. Geliştiriciler, özellikleri ve ürünleri hızlı, yinelenen bir geliştirme döngüsüyle hızlı bir şekilde sunmayı ve verimli bir şekilde ilerlemeyi hedefleyerek hız ve verimliliğe öncelik verir. Öte yandan, güvenlik ekipleri risk ve inovasyonu dengelemeye çalışıyor ancak hassas verileri ve sistemleri korkuluklarla korumaya ve katı düzenlemelere uyumu sağlamaya odaklanmalıdır.
Bu zıt öncelikler ve iletişim boşlukları, iç rekabetin ötesinde bir sürtüşmeye yol açıyor; bunun somut sonuçları var. Geliştiricilerin ve güvenliğin hedeflerini çelişkili olarak gördüğü veya daha da kötüsü işbirliğini tamamen bıraktığı bir kuruluş, gecikmiş sürümler, sistem kesintileri ve artan maliyetlerle (hırçın bir çalışma ortamından, azalan moralden ve artan güvenlik risklerinden bahsetmeye bile gerek yok) karşı karşıya kalabilir.
Bu ayrılığın temelinde yanlış algılamalar, iletişim ve bağlam eksikliği yatıyor. Birçok kuruluşta güvenlik ve geliştirme ekipleri silolar halinde çalışır. Güvenlik genellikle geliştirme sürecinde “son onay işareti” olarak görülüyor; güvenlik ekipleri bir sorun oluşana kadar geliştirici iş akışlarından tamamen ayrılıyor. Güvenlik ekipleri sıklıkla geliştiriciler için uygun olmayan veya uyarlanabilirliği olmayan güvenlik araçlarını kullanıyor ve bu da iki ekibin birlikte çalışmasını imkansız hale getiriyor.
Hiç kimse değişimden hoşlanmaz, özellikle de değişimin ardındaki nedenleri gerçekten kabul etmiyorlarsa. Bu nedenle, bu kültürel ve pratik zorlukların üstesinden gelmenin tek gerçek yolu, siber güvenliğe yönelik işbirlikçi bir yaklaşım oluşturmaktır.
BREACH’te ben yok
İşbirliği kültürü tepeden başlar. Güvenlik geleneksel olarak gerekli bir disiplin olarak görülüyordu, ancak tüm şirket süreçlerinde (geliştirme dahil) entegre bir unsur olmaktan ziyade şirketin ana işinin dışında kalan bir disiplindi.
Kuruluşunuzda durum her zaman böyleyse, başarı ölçütleriniz büyük ihtimalle güvenliği içermiyor demektir. Güvenlik, “özellik sayısı”, “teslim hızı”, “müşteri memnuniyeti” ve diğerleri gibi hedeflerle karşılaştırıldığında genellikle sonradan akla gelen bir düşünce veya ikincil bir endişe olarak ele alınır. Ancak yaralı ve yaralı birçok şirketin de onaylayacağı gibi, iş hedeflerini güçlü ve güvenli bir organizasyonel duruş içerecek şekilde yeniden düzenlemek için tek bir ihlal yeterlidir. Güvenlik ve iş liderleri, iki ekibin ölçümlerini ve hedeflerini en baştan itibaren uyumlu hale getirmelidir.
Nefret etmeyin – bütünleşin!
Güvenlik özelliklerini, korkulukları, öncelikleri ve pratik adımları planlamadan üretime kadar geliştirme yaşam döngüsünün her aşamasına ekleyin ve entegre edin.
Sola vardiya iş akışını benimseyen iki ekip, tasarım yoluyla işbirliği yaparak güvenliği en başından itibaren geliştirme süreçlerine entegre ediyor. Bu, tüm ekiplerin bağlam ve ortak hedeflere sahip olmasını ve geliştirici dostu araçlar kullanmasını sağlar; uyarı sayısını en aza indirir, otomasyonu artırır ve eyleme dönüştürülebilir öngörüler ve geri bildirim sağlar.
Yalnızca güvenlik profesyonelleri için değil, geliştiriciler için de tasarlanmış araçların kullanılması, güvenliğin sonradan düşünülmüş ve rahatsız edici bir düşünce değil, geliştiricinin iş akışının bir parçası olmasının yanı sıra doğası gereği bir sorun olmasını sağlar.
Bu işbirlikçi yaklaşımın tüm güvenlik ve geliştirme görevlerine yayılması gerekir. Güvenlik, müşterilerin yenilikçi, aynı zamanda güvenli ve dayanıklı ürünler almasını sağlayan bir kolaylaştırıcı olarak görülmelidir.
Öncelik verin ve gelişin
Geliştiricilerin en büyük hayal kırıklıklarından biri, yeterli bağlam veya önceliklendirme olmadan çok sayıda güvenlik bulgusu almaktır. Bu sorunu çözmek için güvenlik ekipleri, bulguları doğrudan potansiyel iş veya teknik etkilerle ilişkilendirerek bağlamsallaştırmalı ve geliştiricilerin belirli sorunların aciliyetini anlamalarına olanak sağlamalıdır.
Ek olarak, risk tabanlı önceliklendirme sistemlerinin uygulanması, daha az kritik olan güvenlik açıklarının filtrelenmesine yardımcı olarak geliştiricilerin en acil endişelere odaklanmasına olanak tanır. Güvenlik ekipleri, net öneriler ve gerekli kaynakları sağlayarak, geliştiricilerin sorunları verimli ve etkili bir şekilde ele almalarını sağlayarak daha işbirlikçi ve üretken bir ilişki geliştirebilir.
Siloların yıkılması
Güvenlik ekipleri ve geliştiriciler, aynı takım için oynadıklarının, aynı sorumlulukları ve zorlukları paylaştıklarının ve sonuçta aynı amacın (güvenli, üst düzey ürünler sunmak) olduğunun farkında olmalıdır. Bu ekipleri harekete geçmeye motive etmenin temelinde bu ortak sorumluluk duygusu yatmaktadır.
Ortak toplantılar, eğitim oturumları ve genel bir şeffaf iletişim kültürü, karşılıklı anlayış ve güvenin yanı sıra ortak bir saygı duygusunun oluşmasına yardımcı olacaktır. Geliştiriciler, uyarı yorgunluğuyla ilgili endişelerini paylaşma konusunda kendilerini rahat hissettiklerinde ve güvenlik ekipleri, geliştirici tarafında hangi proaktif güvenlik önlemlerinin gerekli olduğunu açıkladıklarında, engelleyicileri ve potansiyel sorunları, çözülmesi imkansız hale gelmeden önce en erken aşamalarda birlikte tespit edebilirler.