100-dən 1-i: Təhlükəsizlik boşluğunu aradan qaldıracaq qruplar hazırlamaq

100-dən 1-i

Böyük bir təşkilat üçün çalışsanız da, İT-də işləyən bütün təhlükəsizlik işçilərinin adlarını xatırlayacağınız bir ehtimal var. Son bir araşdırmaya görə, inkişaf etdiricinin təhlükəsizlik nisbəti 100: 1-dir (eyni araşdırma bir inkişaf etdiricinin əməliyyat sisteminə nisbəti 10: 1 nisbətində olduğunu göstərir). Əvvəlki tədqiqatlar 100: 3 ilə 100: 6 nisbətlərini açıqladı, buna görə də bəzi irəliləyişlər əldə edildi, lakin kifayət qədər sürətli deyil.

Bu, bu təşkilatların Avropa İttifaqının GDPR kimi qarşıdakı məlumatların qorunması qaydalarını həll etmək və son illərdə mütəmadi olaraq xəbərlərdə yayılan məlumatları dayandırmaq qabiliyyətinin yaxşı bir əlaməti deyil. Bu boşluğu doldurmaq üçün bu gün kifayət qədər ixtisaslı təhlükəsizlik işçiləri yoxdur. Təhlükəsiz inkişaf və əməliyyat təcrübələrinin müvəffəqiyyətlə tətbiqi təkcə dərin texniki dərketməni deyil, həm də inkişaf qrupları və (əsasən) rəhbərlik arasında üstünlük qazanmaq üçün ünsiyyət qurmaq, inandırmaq və tarazlaşdırma bacarığını tələb edir.

Keçmişdə şirkətlər təhlükəsizlik prioritetini vermədiyi üçün təhlükəsizlik ixtisaslaşmasının kifayət qədər cəlbedici olmadığı bir yerdəyik. Eyni şirkətlərin təhlükəsizlik oyunlarını inkişaf etdirmək üçün artan ehtiyacı var, ancaq işçiləri yoxdur.

Bu zəifliyi bağlamaq üçün hansı variantlarımız var?

Əvvəlcə açıq şəkildə bildirək ki, əsas təhlükəsizlik yoxlamalarının (məsələn, üçüncü tərəflərin zəifliyi) avtomatlaşdırılması və kodlaşdırma qaydaları, həmçinin təhlükəsizlik boru kəmərinə inteqrasiya bu günlərdə heç bir məhsul hazırlayan qrup üçün problem yaratmamalıdır. DevSecOps-da alətlər dəsti daim genişləndirilir və həm cəmiyyət, həm də müəssisə tələbləri yaxşı qarşılanır.

Bəs boşluq haradadır? "Haker zehniyyətində" tətbiqlərimizdə ("bilinməyən bilinməyən") yeni potensial hücum vektorları üçün daimi axtarışdadır. Həm də mənalı bir risk təhlili və təhdid modelləşdirməsi aparmaq və bunları tədbir və prioritetlərə çevirmək çətin bir məsələdir. Bunlar dərin təhlükəsizlik düşüncə və bilik tələb edir. Məhsul inkişaf etdirmə qruplarından mövcud məsuliyyətlərə əlavə olaraq bu əlavə bilişsel yükü qəbul etmələri tələb oluna bilməz.

Metyu Skelton və mənim araşdırdığım, kataloqu olan və müxtəlif DevOps topologiyalarının DevOpsların qəbul edilməsinin irəliləməsi və ya qarşısını almasında əhəmiyyətli rol oynaya biləcəyini izah etmək üçün etdiyimiz işlər əlindəki problemə yaxşı uyğun gəlir.

İki fərqli (və bəlkə də tamamlayıcı) komanda topologiyası var:

A) Təhlükəsizlik öhdəliklərini tam bölüşdü

B) Təhlükəsizlik aktivləşdirən komanda kimi

Fərdi yanaşmaların fərqləri, üstünlükləri və çatışmazlıqları nələrdir?

Tamamilə paylaşılan təhlükəsizlik öhdəlikləri, hər bir məhsulun hazırlanması qrupunun ən azı bir təhlükəsizlik yönümlü T-Shape qrupu üzvünün birləşməsini ifadə edir. Bu yanaşma, təşkilat çarpaz funksional, muxtar məhsul istehsal qruplarını hədəfləyirsə uyğun gəlir. Təhlükəsizlik işçisi mürəkkəb təhlükəsizlik təhdidlərini komandanın texniki baxımdan başa düşə və tətbiq edə biləcəyi təhlükəsizlik hesabatlarına və qəbul meyarlarına çevirə bilməlidir.

Həm də şirkət üçün riskləri və potensial xərcləri (uyğunluq, satış və nüfuz) sahibkarların başa düşə biləcəyi və prioritetləşdirə biləcəyi şəkildə bildirməlidirlər. Digər tərəfdən, lazım gələrsə, təhlükəsizliklə əlaqəli olmayan işləri yerinə yetirməyə hazır olmalıdırlar. Vaxt keçdikcə komanda təhlükəsizliyinin təhlili və tətbiqi üçün məsuliyyət genişlənməlidir, T formalı təhlükəsizlik adamı ən yaxşı təcrübələr, yeni metodlar və vasitələrlə əlaqəli biliklərə sahib olacaq və təhlükəsizliklə əlaqəli seminarlar və məhsul təhlükəsizliyi strategiyasına imkan yaradacaq .

Məqsəd bütün təhlükəsizlik işlərini təhlükəsizlik işçisinə tapşırmaq deyil. Əks təqdirdə, yalnız bir makro səviyyədəki bir silosu (təcrid olunmuş təhlükəsizlik qrupu) mikro səviyyəyə (təcrid olunmuş komanda üzvü) keçiririk.
Hər bir məhsul komandası - sarı bir dairə şəklində göstərilmişdir - ən azı biri T şəkilli təhlükəsizlik adamı olan yaşıl bir dairədə göstərilmiş 7 - 9 komanda üzvü ilə birlikdə təhlükəsizlik işində digər insanlar da iştirak edirlər

Əlbəttə ki, bir çox məhsul və iş sahələri üzrə təhlükəsizliyin mərkəzləşdirilmiş bir görünüşü üçün təşkilatda hələ də vacib bir yer var. Təcrübə, yanaşma və nəticələr mübadiləsi vacibdir. Bununla birlikdə, bu xüsusi bir komanda əvəzinə müntəzəm toplanan həvəsli şəxslərdən (Spotify dilində) təcrübə və ya gildiya birliyi şəklini ala bilər (baxmayaraq ki, bu sizin resurslarınız ola bilər).

Üstünlükləri

  • Komanda təhlükəsizliyi üçün məsuliyyət artır, bu da təhlükəsizlik hadisələrinin daha sürətli (mənasız) həllinə və bəlkə də daha əhəmiyyətlisi, gələcəkdə ağrıların təkrarlanmaması üçün onlardan öyrənməyə səbəb olur.
  • Komandalarda təbii ölçü həddi (8-9 nəfər) olduğundan, İT işçilərinin təhlükəsizlik işçilərinə nisbəti (T formalı) zamanla bu komanda topologiyası ilə əhəmiyyətli dərəcədə 10: 1-ə yaxınlaşmalıdır. Yalnız texniki bazanın müxtəlifliyi problemlərin və prioritetlərin həllində üstünlüklər gətirəcəkdir.
  • Bu topologiyaya keçid, təşkilatdakı hər kəsə məhsullarımızdakı təhlükəsizliyin artıq birinci dərəcəli bir vətəndaş olduğuna dair mübahisəsiz bir siqnal göndərəcəkdir.

Dezavantajları

  • Tapmaq və işə götürmək (səxavətli paket tələb edə bilər) və bu əlavə 9 təhlükəsizlik işçisini (100 inkişaf etdiricisi olan bir təşkilatda) işə salmaq dəyəri (bu yazının girişində deyildiyi kimi) ciddi bir problem olacaqdır. Bu keçidin bir az vaxt alacağını gözləyin. Bu müddət ərzində fərqli modellərdən istifadə edilməlidir (bəzi avtonom məhsul komandaları və digərləri hələ mərkəzi komandaya bağlı olanlar) və əvvəlcə hansı komandaların seçilməli olduğunu düşünün. Məsələn, şirkətinizdə daha riskli məhsullar üzərində işləyən komandalara daha təcrübəli təhlükəsizlik işçilərini təyin etməklə başlayın.
  • Güclü muxtar komandalar sabitlik və bir-birlərinin güclü və zəif tərəflərini bilmək üzərində qurulur. Komanda tərkibindəki hər hansı bir dəyişiklik, yalnız bir nəfər olsa belə, qaçılmaz şəkildə pozulmalara səbəb olacaqdır. Komanda yeni təhlükəsizlik aspektini nəzərdən keçirərkən daha az məhsul verdiklərini və daha az məhsuldar olduqlarını hiss edə bilər. Bunun normal və qəbul edildiyini hamının başa düşməsi çox vacibdir.
  • Təhlükəsizlik üçün heç bir mərkəzi əlaqə nöqtəsi yoxdur. Xüsusilə, idarəçilər hiss edə bildilər ki, mərkəzləşdirilmiş bir quruluşda heç kim təhlükəsizlik sükanında deyil. Rabitə kanallarının mövcudluğunu və insanların təhlükəsizlik məlumatlarına dair istəkləri doğru qruplara (və ya bir cəmiyyətə) göndərə biləcəyini təmin etmək burada faydalı ola bilər.

Heuristika

  • Təşkilatınızda artıq sahibkarları birləşdirən, keyfiyyətə cavabdeh olan və inkişaf etdirdikləri tətbiqləri izləyən və idarə edən çarpaz funksional qruplar varmı?
  • Məhsullar (və ya xidmətlər) çox fərqli risk profillərini göstərir?
  • Məhsullar (və ya xidmətlər) heterojen texniki dayaqlar və infrastruktur üzərində işləyirlər?

Yuxarıdakı sualların birinə və ya bir neçəsinə cavab müsbət olarsa, bu topoloji zəifliyi bağlamaq üçün yaxşı bir yol ola biləcəyini sübut edə bilər.

Təhlükəsizlik, aktivləşdirən bir komanda olaraq, xüsusi bir təhlükəsizlik qrupunun məhsul inkişaf etdirmə qruplarını (məsələn, təhlükəsiz inkişaf üçün yaradılan qaydaları) dəstəklədiyini və dəstəklədiyini bildirir.

Mərkəzləşdirilmiş təhlükəsizlik qrupunun faktiki təhlükəsizlik təhlili və həyata keçirməməsi çox vacibdir, əksinə onu təşviq edir və lazım gələrsə rəhbərlik edir.

Bu komandanın əvvəldən layihəyə və ya yayımda iştirak etməsi eyni dərəcədə vacibdir ki, məhsul komandası həyat dövrünün hər mərhələsində təhlükəsizlik təsirlərini, yanaşma və təcrübələrini nəzərdən keçirə bilsin.

Şaquli olaraq boz rəngdə göstərilən bir transvers təhlükəsizlik qrupu üfüqi narıncı rəngdə göstərilən üç məhsul qrupunu dəstəkləyir. Bu açıq yaşıl bir dairə kimi təsvir olunan təhlükəsizlik üçün ortaq bir məsuliyyətə səbəb olur

Spotify və Sportradar da daxil olmaqla bir çox təşkilat bu yanaşmanı seçdi. Ənənəvi "təhlükəsizlik qrupu silosu" ndan daha az ciddi bir struktur dəyişikliyi tələb olunur, çünki bu komandanın vəzifələrini (həyata keçirmək əvəzinə rəhbərlik və dəstək) dəyişdiririk. Bununla birlikdə, şirkətin qalan hissəsi üçün məhsul komandalarının sistemlərinin təhlükəsizliyinə daha yaxşı təsir bağışlayacaqlarını başa düşmələrini çətinləşdirə bilər.

Sportradar-dakı CTO Pablo Jensen, bu yaxınlarda məhsul komandaları ilə sıx əməkdaşlıqda təhlükəsizlik siyasətinin və təlimatların təqdim edilməsində özünün xüsusi məlumat təhlükəsizliyi qrupunun rolundan danışdı. Layihə ömrünün qapılarından biri təhlükəsizlik qrupunun təsdiqlənməsini tələb edən “İnkişafa başlamaq üçün Uyğundur”, təhlükəsizlik təsirlərinin nəzərdən keçirildiyini və müvafiq olaraq işlərin planlaşdırıldığını tələb edir. Bu komanda birbaşa CEO-ya hesabat verir və lazım olduqda məhsul satışını dayandırmaq səlahiyyətinə malikdir.

Məhsul təhlükəsizliyi işini öz üzərinə götürməyən mərkəzləşdirilmiş təhlükəsizlik qrupunun rolu, lakin məsləhət (mənbə: Pablo Jensen, Sportradar-da CTO - QCon London 2018-də təqdimatından slaydlar)

Üstünlükləri

  • Təhlükəsizlik işlərinin çoxunu həyata keçirən ənənəvi bir təcrid olunmuş təhlükəsizlik qrupundan aktivləşdirmə modelinə keçmək üçün daha qısa vaxt.
  • Çox sayda yeni işçi tələb etmir və beləliklə əlaqəli səylərdən və komandada mümkün pozulmalardan qaçınır. Burada diqqət yetirən komandanın texniki bacarıqlara əlavə olaraq bütün zəruri yumşaq bacarıqlara sahib olmasına diqqət yetirilməlidir.

Dezavantajları

  • Bu komanda özündə yaxşı olan effektiv ünsiyyəti mənimsəməlidir. Bu zamanla inkişaf etdirilməli olan bir bacarıqdır. Buna görə rabitə strategiyasını və məzmununu müəyyənləşdirmək üçün ilk növbədə xarici və ya daxili yardıma investisiya etmək lazım gələ bilər.
  • Bu modelə keçsəniz, təhlükəsizlik diqqətini dəyişdirmək üçün zəif bir siqnal yayılacaqdır. Siqnal gücləndirilməlidir və org mədəniyyətinin bir hissəsi kimi batmazdan əvvəl uzun müddət təkrarlanmalı ola bilər.
  • Yeni məsuliyyət, təcrübə və vasitələrin tətbiqi artıq ən yüksək həddə çatan məhsul hazırlayan qruplar üçün çətin ola bilər. Mərkəzləşdirilmiş aktivləşdirmə qrupu, modelin ümumi məqsədini ləğv edən məhsul təhlükəsizliyini həyata keçirmək üçün kömək almaq üçün sıxışdırıla və təzyiqə məruz qala bilər.
  • Vaxt keçdikcə məhsul komandalarındakı təhlükəsizlik diqqəti sərbəst buraxılma / sprint planlaşdırmasında və komandanın gündəlik stendlərində iştirak edən bir təhlükəsizlik adamı olmadan azalda bilər. Bu təsirin qarşısını almaq üçün bir növ idarəetmə qurulmalıdır.

Heuristika

  • Az sayda məhsul hazırlayan qruplar (təhlükəsizlik komandası ilə daha sıx əməkdaşlıq etməyə imkan verənlər) varmı?
  • Məhsul komandasının üzvləri təhlükəsizlik mövzularına maraq göstərir və öyrənməyə hazırdırlar (məsələn, texniki konfranslarda və ya görüşlərdə iştirak etmək)?
  • Əlbətdə, istehsalda təhlükəsizliklə əlaqəli insidentlərin həlli həm təhlükəsizlik, həm də inkişaf işçilərinə təsir göstərirmi (hər tərəf özünü məsuliyyətdən uzaqlaşdıran günah oyunundan fərqli olaraq)?

Yuxarıdakı sualların birinə və ya bir neçəsinə cavab müsbət olarsa, bu topoloji zəifliyi bağlamaq üçün yaxşı bir yol ola biləcəyini sübut edə bilər.

Nəticə

DevSecOps İT-də təhlükəsizlik profilini gücləndirdi və ciddi məlumat pozuntularının müntəzəm axını əksər şirkətlərdə təhlükəsizlik boşluğunu üzə çıxartdı. Bu yazıda mən bu boşluğu doldurmaq üçün bir sıra mümkün yanaşmaları (təhlükəsizlik bölüşdürən bir komanda kimi təhlükəsizlik bölüşdürüldü), üstünlükləri və mənfi cəhətləri və kontekstdə olan heuristika ilə birlikdə təqdim etdim.

Unutmayın ki, komanda dizaynı statik olmamalıdır. Təşkilatlar, insanlar və proseslər zamanla təbii olaraq inkişaf edir. Bu gün ən uyğun olanı, sabah daha sürətli və daha etibarlı bir proqrama mane ola bilər. Bir şirkətin əvvəlcə ənənəvi təhlükəsizlik silosu yanaşmasından "bir aktivasiya qrupu olaraq təhlükəsizlik" modelinə keçməsi və zaman keçdikcə təhlükəsizlik şüuru və bilik dəyişikliyi olaraq "tam ortaq təhlükəsizlik öhdəlikləri" olan bir quruluşa keçməsi tamamilə mümkündür. məhsul komandalarına.

Təşkilatlarınızda və ya müştərilərinizdə başqa hansı komanda topologiyaları və təhlükəsizlik strategiyaları gördünüz? Zəhmət olmasa aşağıda şərh verin və ya mənə bir e-poçt göndərin:

məni manuelpais nöqtə şəbəkəsi