Разработчики считают, что политики безопасности сдерживают внедрение инноваций, а система безопасности по-прежнему воспринимается в организациях как барьер, согласно исследованию взаимоотношений между IT-подразделениями, службами безопасности и командами разработчиков в процессе перехода организаций на модель безопасности Zero Trust [1].
Forrester Consulting опросила 1475 руководителей IT-отделов и служб безопасности и выяснила, что только каждый пятый (22%) понимает, какие политики безопасности он должен соблюдать. Настораживает тот факт, что более четверти (27%) опрошенных разработчиков вообще не участвуют в принятии решений по политике безопасности, несмотря на то, что многие из них существенно влияют на их работу. Организации, в которых служба безопасности и команда разработчиков находятся в хороших взаимоотношениях, способны ускорить цикл разработки программного решения на пять рабочих дней по сравнению с теми организациями, в которых какое-либо взаимодействие отсутствует, показывая, что это ставит под угрозу скорость вывода на рынок и конкурентное преимущество продукта.
73% респондентов согласились с тем, что их высшее руководство уделяет больше внимания укреплению взаимоотношений между командой разработчиков и службой безопасности, чем это было два года назад, но эти отношения все ещё остаются натянутыми. Более того, каждый третий (37%) руководитель сообщил, что рабочие команды в их компаниях неэффективно взаимодействуют по рабочим вопросам или не предпринимают никаких шагов для укрепления взаимоотношений между службой безопасности и командой разработчиков. Отсутствие ответственных за конкретные задачи, низкий уровень коммуникации между командами и расстановку разных приоритетов негативно влияют на совместную работу.
«Это исследование показывает, что необходимо изменить восприятие системы безопасности в компании. Вместо того, чтобы воспринимать службу безопасности как команду, которая активно работает только в целях устранения нарушений и утечек данных, или как тех, кто «препятствует инновациям», необходимо внедрить безопасность в рабочие процессы сотрудников и решения, которые они производят. Безопасность должна стать командным видом спорта, в котором ИБ-служба работает совместно с IT-подразделением и разработчиками, чтобы обеспечить защиту облачных сред, приложений и всей цифровой инфраструктуры. Мы должны сформировать культуру, в рамках которой все команды придерживаются общих интересов, достигают общие цели или ключевые показатели, а также говорят на одном языке. Когда ИТ-подразделение, ИБ-служба и группа разработчиков участвуют в принятии решений, проектировании и реализации, это приносит большую пользу бизнесу, и нам всегда надо об этом помнить», — отметил Рик Макэлрой (Rick McElroy), главный специалист по вопросам стратегии кибербезопасности компании VMware.
Общие командные приоритеты и постоянное взаимодействие станут залогом движения вперед, и в этом направлении прогресс уже достигнут. Более половины респондентов (53%) ожидают, что ИБ-службы и команды разработчиков будут объединены в течение ближайших трех лет. При этом 42% опрошенных ожидают, что безопасность за тот же период станет неотъемлемой частью процесса разработки. Все больше специалистов признают, что согласованность между командами позволяет компаниям сократить разрозненность команд (71%), разработать более безопасные приложения (70%) и повысить гибкость при внедрении новых рабочих процессов и технологий (66%).
* * *
- Исследование Bridging the Developer and Security Divide проведено аналитическим агентством Forrester Consulting по заказу VMware. С полной версией исследования, содержащим рекомендации по устранению разногласий между командой разработчиков и службой безопасности, можно ознакомиться по ссылке.