Zwinne IT: rola dyrektorów ds. bezpieczeństwa w przeciwdziałaniu zagrożeniom

Działy IT działają obecnie dwukierunkowo – z jednej strony stawiają na zwinność, z drugiej na rozwój narzędzi typu „low code”. Największym zagrożeniem wciąż pozostaje bezpieczeństwo, o którym często zapomina się podczas realizacji biznesowych celów.

Zrównoważyć obsesję zwinności

Zarządy, których priorytetem jest aspekt biznesowy, domagają się większych, wyrazistych i lepszych rozwiązań cyfrowych dla klientów i pracowników. Ze względu na zorientowanie na szybkie i ciągłe dostarczanie rozwiązań cyfrowych, rośnie nacisk na „zwinność”. Równolegle, szefowie działów bezpieczeństwa stawiają na narzędzia, mające na celu odciążenie zaplecza programistycznego.

– Dyrektorzy ds. bezpieczeństwa nie do końca podzielają obsesję na punkcie zwinności.  Choć rozumieją atrakcyjność szybkich dostaw, patrzą na te działania z innej perspektywy. Ich zdaniem, koncepcja zwinności, nie stanowi odpowiedzi na wszystkie problemy, dlatego starają się równoważyć ją wprowadzając narzędzia typu "low code" i inne narzędzia, które pozwalają bardziej wykwalifikowanym programistom skupić się na usprawnieniu bardziej technicznych aspektów stosu – mówi Christian Putz, Country Manager w Vectra AI.

Te działania sprawiają, że dział technologiczny może zapewnić większą autonomię zarówno sobie, jak i użytkownikom biznesowym.

Szybko działaj, szybko popełniaj błędy

Tworzenie oprogramowania, które odbywa się w środowisku "wyścigu", może być korzystne z punktu widzenia wskaźników czasu wprowadzania produktów na rynek i wydajności. Dla mniejszych przedsiębiorstw może mieć to kluczowe znaczenie. 

Choć model "szybko działaj, szybko popełniaj błędy" niesie za sobą wiele korzyści, ale może prowadzić do eskalacji ryzyka. Aby uniknąć kryzysowych sytuacji, dyrektor ds. bezpieczeństwa informacji musi zachować prawo do wyrażenia sprzeciwu.

Jak zauważa Christian Putz, środowiska informatyczne chronione przez działy IT uległy dramatycznym zmianom w topologii. Sieć korporacyjną definiuje obecnie wiele domen. Punkty końcowe są rozproszone w kontrolowanych obiektach, niekontrolowanych środowiskach zewnętrznych i domach pracowników. Jeśli chodzi o zwinne IT, kontynuowanie dotychczasowych działań jest równoznaczne z nieuchronnością incydentu bezpieczeństwa. Lider ds. bezpieczeństwa musi zatem sformułować przekaz, który będzie zgodny z celami pozostałych kierowników i sprawi, że będą oni myśleć o ryzyku na każdym etapie realizacji tych celów.

– Szefowie ds. bezpieczeństwa powinni wykorzystać swoją pozycję w obszarze zarządzania ryzykiem, aby wskazać wszystkie przypadki, w których stosowanie zwinnego IT doprowadziło do zarzucenia ładu korporacyjnego. Powinni szukać sposobów ustanowienia nowego łańcucha odpowiedzialności za incydenty, powiązanego z zarządzaniem zmianami, naciskając na kierowników projektów opartych na zwinnych metodykach, aby wzięli na siebie odpowiedzialność za wszelkie incydenty, które wystąpiły wskutek braku należytej staranności w zakresie bezpieczeństwa – uważa Putz.

Bezpieczeństwo jako standard

Obecnie usługi cyfrowe są realizowane w wielu środowiskach. Narzędzia bezpieczeństwa muszą umożliwiać zespołom wykrywanie zagrożeń w ekosystemach hybrydowych i wielochmurowych. Muszą uwzględniać luki w oprogramowaniu i słabości w wymaganiach dotyczących kontroli tożsamości. Muszą być skalowalne, aby przedsiębiorstwa mogły się rozwijać bez konieczności rozważania czy zastosowane narzędzia bezpieczeństwa wytrzymają dodatkowe obciążenie.

Kultura organizacji powinna opierać się na podejściu, w którym bezpieczeństwo jest standardowym wymogiem dla wszystkich projektów. 

W obliczu współczesnych zagrożeń, aby zapewnić bezpieczeństwo pracownikom i klientom, przedsiębiorstwa i ich zespoły technologiczne muszą zdać sobie sprawę, że skuteczne bezpieczeństwo nie kończy się na zgodności z wymaganiami przepisów i standardów. Narzędzia z których firmy decydują się korzystać, powinny być w stanie monitorować firmowe środowiska i sygnalizować błędy w trakcie rozwoju i w konfiguracji. W kulturę organizacji powinna zostać wpisana praktyka, że żaden produkt ani usługa cyfrowa nie są gotowe do wykorzystania produkcyjnego, zanim nie zostaną zatwierdzone przez dyrektora ds. bezpieczeństwa systemów informatycznych.

I choć jest rzeczą naturalną, że dyrektorzy wyznaczający linię biznesową, chcą elastycznych rozwiązań informatycznych, wciąż popełniają podstawowe błędy. Ich strategia koncentruje się wokół kolejnych projektów, a nie na ryzyku, które się za nim kryje. Elastyczne projekty z pewnością są częścią współczesnych przedsiębiorstw, ale trwały sukces, w przeciwieństwie do serii ryzykownych, szybkich zwycięstw, wymaga metodycznego, celowego działania.

Źródło: vectra.ai