心灵(通信)差距:安全领导人如何成为开发和运维语者
![(通信)的差距](http://www.yyueer.com/sites/default/files/images/articles/AdobeStock_248722294.jpeg)
开发人员、行动和DevOps团队必须把安全融入他们的流程——通常很难。的安全领导人能够成功结合他们织安全工具和工作流。
建立安全控制整个企业的独家领域安全团队。不了。因此,安全领导人必须从开发人员得到支持,它/不行动,DevOps团队安全构建到他们的日常流程。的关键不仅仅是更好的沟通,但他们与这些团体,用他们使用的语言。这篇文章解释说,安全部门必须改变从守门反对者的商业伙伴。
企业安全的变化的世界
随着技术环境的扩大和发展,将无数的资产类型和网络架构,包括云平台和IaC自动化、越来越多的IT团队发现自己管理一个广泛的至关重要的资产。因此,他们必须实现,坚持和维护安全控制来保护数据,应用程序和资产监督。为了保护这些资产,成为开发团队必须,DevOps组和运营团队(这和OT)构建安全融入日常运作和任务。但安全不是这些团队的核心竞争力——我们也不应该期望它是!他们的业务目标,重点和动机——有时截然不同,可以创建固有电阻来减轻风险的安全团队的目标在整个组织。
先概述了这些差异如何架起沟通的桥梁,通常支撑阻力这些业务单位安全团队的目标。
为什么我们做我们做什么
让我们建立的动机三个关键球员在今天的技术格局:安全、发展和DevOps。安全团队是由熟悉的中情局三位一体的机密性、完整性和可用性。控制在整个组织中实施旨在确保一个或多个这样的原则。保护数据免受,确保资产不妥协,建立弹性的基础设施都是安全的关键动机。
开发团队没有动机以同样的方式。虽然可能会有一些粗略的确认保持系统正常运行,安全不是一般的心灵。开发人员在其核心建设者。他们创造的新功能,推动销售通过新功能和新软件的架构师。他们认为安全的目标建设新东西的一个障碍。很难快速编写和部署代码,最终用户提供的新功能,当你进行安全扫描,检查代码审查和其他安全团队要求做什么就做什么。直接冲突的良方:需要平衡有效的编码实践而部署的代码是安全的,安全的和自由的错误可能会导致应用程序的一个妥协。
DevOps的球队,然而,跨越这些团体之间的线,从台穿梭代码,应用程序和基础设施投入生产。像开发人员,DevOps认为安全是一个障碍,但在这里,主司机不一定创造新的东西,而是,找到有效的方法来完成他们的任务。这通常围绕着大量的自动化,这允许DevOps团队是快速、灵活和能够解决大规模部署以最小的努力。这里,安全被视为阻碍这些自动化的过程,因为它需要多个检查,确保生产部署和安全是安全的,因为它创造了复选框添加到现有的DevOps任务通常不像其他工作流自动化。这可以显著降低部署过程,这就是摩擦发生。
![心灵的交流沟](http://www.yyueer.com/sites/default/files/inline-images/comm-gap-graphic-r2.jpg)
纵观行,似乎没有一个明显的地方这些团队可以相交,找到共同点。还是那里?安全领导人知道这些目标对齐远远超过大多数实现都成功打破阻力和建立一个更强大,更无缝组织的安全程序,有效地降低风险。这一切开始改变信息结合重要的每一个团队。
再次像井水一样源源不断赢得了一天
安全团队一个常见的错误与他们的交流项目是假设每个人都明白安全是很重要的,并且他们重复一个沉重的安全信息。但对大多数非安全性业务单元在一个组织,我们常常无法解释安全而言,突出像井水一样源源不断,即“它对我来说是什么?”。实际上,大多数非安全性组织中的业务单位把安全看成自己的努力的障碍,通常把它写成“其他团队的工作”。网络内容过滤屏蔽网站。端点安全防止好玩的游戏和应用程序的安装。电子邮件安全阻止人们点击诱人的链接有前途的彩票奖金,包交付更新或税务解决方案(说真的,请不要点击任何这样的)。当安全控制被视为来自“不”的部门,难怪DevOps开发人员和管理员正犹豫允许安全控制进入他们的域名?
安全并不一定是“不”的部门,和我们拥抱安全控制,同步用户、管理员和工程师做生意,就越容易向他们展示他们的组织作为一个整体。所以,让我们来看看一些建议在People-Process-Tools三合会,您可以提高您的开发和DevOps团队的支持和拆除的障碍常常阻止安全团队成熟和满足他们的目标。
表:People-Process-Tools安全团队的建议
开发团队 |
DevOps的团队 |
|
---|---|---|
人 |
|
|
过程 |
|
|
工具 |
|
|
结论
在一天结束的时候,安全专家和领导需要与观众沟通观众本身,不安全的人。我们必须证明,我们希望实现的安全控制不会创建新软件的特性和功能障碍你的开发团队的重点是。我们还需要展示这些控件不会妨碍DevOps团队茁壮成长的速度和可伸缩性。如果我们成功的在这样的沟通,安全团队可以摆脱被视为“不”的部门,而被认为是一位商业伙伴组织授权操作上更有效,同时减少和减轻风险的核心任务。
了解更多
- 读白皮书3级别的安全战略业务风险决策
- 看点播网络研讨会网络领导教训的新世界工作:接下来是什么?
- 阅读博客调整网络安全和业务:没人说这很容易
相关文章
- DevOps