YORUM
İş performansında fark yaratma söz konusu olduğunda, bilişim şefleri (CIO’lar) uygulama geliştirmeye ve yazılım iyileştirmelerine yatırım yapıyorlar. Gartner’a göre şirketlerin %60’ı harcamayı planlamak yazılıma daha fazla önem veriyor; şirketlerin %52’si üretkenliği artırmak için yazılıma olan harcamalarını artırıyor. Analist firma Omdia puanları Mevcut teknoloji yığınlarının zaman içinde bakımının maliyeti nedeniyle modernizasyon ve uygulamalara yatırım kritik bir hedef olarak görülüyor.
İçin baş bilgi güvenliği görevlileri (CISO’lar)Bu yatırımlar önemli bir zorluğu temsil ediyor. Her gün, her dakika yeni BT altyapılarının oluşturulduğu, kullanıldığı ve yıkıldığı, değişimin aralıksız hızına nasıl ayak uydurabilirsiniz? Bunu tartıştığım bir CISO, bunu bir nehre baraj yapmaya çalışmak gibi tanımladı; başarılması imkansız, nankör bir görev ve sizi başladığınız zamankinden çok daha fazla rahatsız eden bir görev. Daha da kötüsü, standartları empoze etmeye çalışmak, kendilerini “hayırlı departman” gibi hissetmelerine ve işletmenin genel hedeflerine karşı düşmanlık duymalarına neden oluyor, iç duruşlarını etkiliyor ve göz ardı edilme olasılıklarını artırıyordu.
Dolayısıyla bu değişim hızına karşı çıkamayız. Bunun yerine geliştirici hızını ve bu ekiplerin sahip olduğu hedefleri nasıl anlayabiliriz? Güvenliği kaynağında uygulayabilmek için bu değişikliklerin önüne nasıl geçebiliriz ve bu yaklaşımın bizim için anlamı nedir?
Başlangıçtan Başlamak
Kuruluşunuzdaki yazılım geliştirme sürecini anlamak, güvenlik önlemlerini bu karışıma nasıl ekleyebileceğinizi araştırmaya başlamak için iyi bir yerdir. Bu ekipler isteklerini, gereksinimlerini ve zaman içindeki değişikliklerini nasıl yönetiyor ve yaşam döngüleri nasıl çalışıyor? Bu ekipler nasıl daha hızlı ve verimli çalışıyor ve performanslarını artırmak için hangi adımları atıyorlar?
CISO’lar içinYazılım geliştirme sürecindeki her aşama, konuşmaya güvenliğin dahil edilmesi için potansiyel bir yerdir. Ancak birçok geliştirici güvenlik sorularına karşı temkinli davranıyor. Bunun nedeni? Güvenlik genellikle onlara çok büyük miktarlarda değişiklik talepleri verir ve “Bunun düzeltilmesi gerekiyor” dışında hiçbir yönlendirme yoktur. İşletme zaten onlardan yeni işlevsellik veya hizmetler sunmalarını istediğinden, bu durum ek iş konusunda kızgınlığa yol açabilir.
Bu durumu iyileştirmek için, katılan tüm ekiplerin gerçekleştirmesi gereken genel hedeflere ve hangi bilgilerin onlara doğrudan fayda sağlayabileceğine bakın. Geliştiriciler oluşturmak ister ve işletme bu sonuçların mümkün olduğu kadar hızlı olmasını ister. CISO’lar için buradaki rehberlik, değişimin hızını sağlamak veya en azından yoldan çekilmektir. Bunun pratikte çalışmasını sağlamak için güvenlik ekiplerinin, güvenlik sonuçlarını doğrudan geliştirici iş akışına sunacak şekilde neyi otomatikleştirebileceklerine bakması gerekir.
Geliştiricilerin kendisi kod içinde yaşar. Bırakın dış ekipler tarafından kendilerine dikte edilen süreçlerde, süreçlerinde herhangi bir manuel görev istemiyorlar. Bu engeli aşmak için, güvenlik yaklaşımınızı bu kod iş akışına yerleştirin, böylece halihazırda kullanımda olan araçlar içindeki geliştirme ortamının herhangi bir bölümüne varsayılan olarak uygulanır. Daha sonra bir kod bileşeninin düzgün şekilde derlenmemesi veya bir API entegrasyonunun başarısız olması gibi, bir güvenlik kusuru da geliştiriciye düzeltilmek üzere işaretlenebilir.
Yığını Yukarı Taşıma
Güvenlik sektörü, yazılımda daha güvenli geliştirme ve tasarım uygulamalarını teşvik etme konusunda istekli olmuştur. Buradaki vaat, ister üretimde ister daha sonraki test ve dağıtım aşamalarında olsun, sorunları sürecin erken safhalarında düzeltmenin, uzun vadede sürecin ilerleyen aşamalarında yapmaktan daha ucuz olacağıdır. Tasarım gereği güvenli mantra teoride mükemmeldir. Ancak geliştiriciler o kadar hızlı ilerliyor ki bu çerçevenin uygulanması ve kendi başına ayakta kalması zor olacak.
Bunun yerine yazılım güvenliğini bir metodoloji olarak ele almalıyız. Geliştiricilerin işin gerektirdiği hızda değişiklik yapmalarını destekleyebilir, geliştiricilere sorunlar hakkında bilgi verebilir ve ardından bu sorunları üretime geçmeden önce düzeltmeye çalışabiliriz. Ancak bu tek başına yeterli değildir. Fransa’daki bir CISO, şirketin konteynerli uygulamaları için güvenlik kontrollerini ve kontrollerini yalnızca yapım aşamasında başarıyla uyguladığını bildirdi. Teorik olarak bu, görevlendirilen tüm görüntü geliştiricilerin sonraki aşamalarda kontrollere gerek kalmadan üretime kadar güvende olması gerektiği anlamına gelir. Ancak ekip üyeleri üretimde hâlâ sorunlarla karşılaştıklarını, güvenlik açıklarının ve yanlış yapılandırmaların hâlâ meydana geldiğini fark etti. Sorun, bu konteynerlerin zamanla sürüklenmesi ve daha sonra bunların iyileştirilmesinin gerekmesi veya bazen olduğu gibi riskin kabul edilmesi ve bu görüntülerin bilinen sorunlarla birlikte çalışma zamanında olmasıydı.
CISO’ların bağlam sağlayarak kendilerine gelebilecekleri yer burasıdır. Riski bir bütün olarak işin bağlamına veya belirli platformlara veya departmanlara aktarmak, geliştirme ekiplerinin faaliyetlerini önceliklendirmesine olanak tanır. Ayrıca ekiplerin kodlama uygulamalarını sürekli olarak geliştirmelerine ve daha güvenli uygulamaları daha hızlı oluşturmalarına olanak tanır. Güvenlik ekipleri bu durumda geliştirici hızını yavaşlatmak yerine yalnızca koruma rayları sağlıyor; böylece güvenlik, riskleri azaltırken ve ihtiyaç duyulan yerlerde iyileştirme çabalarını sürdürürken aradan çekilebilir. Nihai sonuç? CISO’nun gerçekten risk konusunda iletişim kurması gerektiğinde, işletmenin geri kalanının buna dikkat etmesi daha olasıdır.