Zarządzanie ryzykiem powinno należeć do głównych elementów procesu wdrażania nowych technologii. Podejście DevSecOps zakłada włączenie bezpieczeństwa w cały proces tworzenia nowych rozwiązań.
W dynamicznej rzeczywistości technologicznej tradycyjne podejście do zarządzania projektami IT już dawno przestało być efektywne. Infrastruktura IT bardzo się zmieniła w ostatnich latach. Jeszcze niedawno, rynek stawiał na integrację działu rozwoju i operacji według podejścia DevOps. Dziś jednak, wiele firm idzie o krok dalej i w cały proces włącza troskę o bezpieczeństwo według koncepcji DevSecOps.
Kluczowy trend technologiczny
Podejście to zostało uznane za jeden z najważniejszych trendów technologicznych w 2019 roku według raportu „Tech Trends 2019” opracowanego przez firmę Deloitte. Ponieważ tak wiele z nowoczesnych rozwiązań musi odpowiadać na nowe wyzwania, organizacje powinny połączyć zespoły rozwoju, operacji i bezpieczeństwa w proces powstawania nowych produktów. Dzięki temu wykształca się nowoczesna kultura organizacyjna, która pozwala na budowanie nowych produktów w krótkim czasie i przy stałym wsparciu osób odpowiedzialnych za bezpieczeństwo.
Dlaczego włączać bezpieczeństwo w DevOps? Z raportu Deloitte wynika, że zespoły projektowe skupiają się nad rozwijaniem produktu i wymaganiami biznesowymi, natomiast o bezpieczeństwie myślą zbyt późno, kiedy prace są już zaawansowane – w konsekwencji wymagania bezpieczeństwa niekoniecznie odpowiadają na potrzeby konkretnego projektu. Z kolei osoby odpowiedzialne za bezpieczeństwo mogą, zdaniem ekspertów, wykazywać niechęć do podejmowania ryzyka i nie wyrażają zgody na niepewne projekty. Ponieważ dział bezpieczeństwa jest odseparowany organizacyjnie od reszty organizacji, nie zdaje sobie sprawy z pełnych konsekwencji takich decyzji.
DevSecOps przekształca kulturę i myślenie o cyberbezpieczeństwie, sprawiając, że wszystkie zespoły na każdym etapie powstawania usługi czy produktu będą odpowiedzialne za zapewnienie ich bezpieczeństwa. Niesie to wiele korzyści: pomaga uniknąć nieprzyjemnych niespodzianek związanych ze zbyt późnym wykryciem cyberzagrożenia, (co może spowodować stratę czasu i pieniędzy). Poza tym pomaga tworzyć produkty lepsze i bezpieczniejsze, co z kolei może wpłynąć korzystnie na zadowolenie i lojalność klientów.
