3方法安全领导人可以与DevOps建立安全文化

了解您的组织可以提高安全努力通过消除之间的脱节安全和DevOps团队。

建立一个强大的安全文化桥梁之间的差距DevOps和安全的最大挑战之一,是CISOs和其他安全领导的脸。

因为应用程序和数字服务驱动业务增长和竞争力,DevOps团队必须开发和部署软件迅速和频繁。与企业敏捷性优先于安全,安全往往被忽视,创建网络罪犯攻击的机会。就在去年,40美元的记录被暴露由于数据泄露。现在比以往任何时候都更,组织必须建立一个强有力的安全文化,团结DevOps和安全团队。

然而,CISOs经常发现这并不像听起来那么简单。为什么?DevOps组的当务之急是要努力工作获取软件和产品开发并尽快投入生产。与此同时,安全团队专注于识别和消除威胁。因此,通常这些团队之间存在脱节DevOps一般认为安全是一个障碍。

CISOs如何克服这种脱节?

虽然没有一个万能的,这里有3种方法CISOs和安全领导人可以与DevOps建立安全文化。

步骤1。评估你现在的安全文化

你当前的安全文化是什么样子的?

首先进行一对一的采访DevOps的关键利益相关者和菲尔丁内部调查的员工更大的群体。这个评估将帮助你识别需要改进的领域和新的机遇。此外,它可以帮助你了解DevOps同行认为安全的努力,所以你可以识别和优先紧迫的问题。

在评估期间,安全领导人应该问问自己:

1. 我的DevOps团队如何感知他们的角色和责任对于构建安全软件?
2. 有人在DevOps的行为,使他们一个简单的网络罪犯的目标?
3. DevOps团队如何保护敏感数据在云中和工作负载?
4. 有改进的机会吗?

彻底的和诚实的评估提供了洞察力和可见性的安全领导需要加强薄弱环节,比如过时的软件和政策,合规问题,安全配置错误,沟通的挑战,组织筒仓和人为错误。在评估期间,别忘了收集安全事件和来自员工的反馈信息。

通过评估你目前的安全文化,你会识别和理解你的团队对安全的态度和行为,使他们成为冠军,帮助建立一个强大的安全文化。

步骤2。创建一个有效的变更管理计划

既然你已经确定了你当前的安全文化是什么样子除了成长和进步的机会,下一个步骤是创建一个变更管理计划。

CISOs如何克服DevOps团队的不情愿和变革阻力,让他们接受新的网络安全态度和行为吗?

首先,他们必须提供DevOps团队适当的资源、工具、教育和培训。这是关键给他们必要的技能来抵御和应对网络攻击。这里有一些小贴士DevOps团队有效的网络安全培训:

1. 鼓励他们保持警惕,采取安全第一DevOps的方法。
2. 促进教育和对安全最佳实践等将离开和自动化,帮助他们识别漏洞和消除风险在整个软件开发生命周期。
3. 执行安全从上到下,教育他们在安全所有权和共同责任。
4. 奖励他们,庆祝团队胜利激励和授权给他们。

为领导和开发详细计划提前识别障碍是变更管理的第一步。一旦你的计划发展,分享它与DevOps领导人和团队成员集会他们背后的原因。确保他们了解他们所面临的问题和挑战,“为什么”的东西需要改变。

记住,改变不会在一夜之间发生。透明度和信任是关键。改变是缓慢和重复。通过培养一个协作文化,DevOps可以学习如何更好的与安全团队协作和分享最佳做法,工具和技术来改善他们的工作流程,加强安全文化。

步骤3。安全集成到DevOps的DevSecOps工具

激励DevOps团队“过激”的安全是说起来容易做起来难,但拥有合适的工具极大地提高了DevOps和安全团队沟通和协作。

传统上,DevOps孤立和安全团队,独立操作,最终创建了一个两者之间的文化差异。总是在时间压力下工作,DevOps团队往往是“太忙”担心安全,把安全视为障碍,减缓了开发过程,负面影响其上市时间、效率和灵活性。此外,安全团队的流程和工具试图强行让开发者沮丧,安全团队的共识不“理解”的开发过程,与DevOps团队和他们的期望不一致的现实。

相比之下,安全团队认为自己是安全并找到DevOps的监护人和执法者在安全方面相当冷漠。他们相信DevOps团队选择忽略他们的指导和要求。因此,安全团队也发现自己沮丧而扫描的代码不安全软件管道的最后阶段,通常导致两种结果:不安全代码的部署被推迟或取消,或更糟的是,按原样不安全代码发布,提供网络罪犯攻击的途径。

两队之间的缺乏理解创造了紧张和责任文化,使其难以有效协作和组织构建的文化安全。

不过,安全领导人可以创建环境中开发人员、操作和安全团队是高度集成和共享安全的责任。在这些组织中,安全不再是唯一的安全团队的责任。相反,开发人员成为安全解决方案的一部分,产卵运动等左移位”,安全控制的应用早在软件开发生命周期(SDLC)。”

这些CISOs和安全领导人实现DevSecOps方法促进DevOps和安全团队间的协作。关键成功因素为DevOps团队提供的是正确的DevSecOps工具。

合适的DevSecOps工具开发者应该是“友好的。“他们是直观的、简单的、自动化和集成开发人员的工具。例如,工具,如静态应用程序安全性测试工具(科协),动态应用程序安全性测试工具(DAST)和软件成分分析工具(SCA)适合开发人员通过帮助他们编写更安全的代码。

根据社会网络科协工具”分析程序的源代码和应用程序时仍在发展”而DAST工具部署完成后程序,“作为一个外部测试程序,寻找潜在的漏洞利用”。此外,这些工具不开发者慢下来,让代码错误被发现在他们进入生产之前,帮助开发人员采用“左移位”的方法。通过部署科协和DAST工具,DevOps团队可以更好的保护他们的应用程序免受威胁,因此降低风险。

成分分析工具分析开源软件代码,往往90%或更多的应用程序的代码库。开放的源代码可以包含漏洞和错误配置,因此它是至关重要的对于DevOps团队之前检查安全漏洞任何开放源码组件将它纳入他们的应用程序。

此外,安全领导人可以与团队合作,调查最好的工具,在敏捷环境中促进安全。这不仅使开发人员编写更安全的代码更容易但也让他们优先考虑安全,因为他们可以利用自动化实时安全工具来识别风险和漏洞。

建立一个强大的安全文化需要一次全体安全方法,同时促进协作文化。通过这种方法,开发和安全团队可以学会一起工作优先考虑安全通过拥抱DevSecOps的概念与合适的工具。

使改变

构建文化安全是一个持续的团队努力的结果,但它与领导从顶部开始。安全领导人必须投资于一个安全策略,继续促进安全意识他们的团队。

将安全作为一个优先级和共同责任是使DevSecOps成功的关键,建立一个强大的安全文化。实现一个DevSecOps方法意味着每个人都有责任或角色在建设安全文化,因此所有团队可以被追究责任。此外,DevOps团队可以周围有更好的明确自己的角色,责任和期望时安全。

总的来说,创建一个强大的安全文化意味着接纳文化变化和努力通过变更管理,提高各种态度和心态意识、教育、培训和理解。一旦安全领导人已经采取了适当的措施建立和加强他们的安全文化,他们可以改变他们的组织和团队前进的正确方向并建立一个强有力的文化安全。

了解更多

• 读博客:IaC是什么?CISO为什么它很重要?
• 下载电子书:如何选择一个现代CSPM工具来减少你的云基础设施风险
• 了解更多关于我们的能力,开云app爱游戏