Come “spostarsi a sinistra” e sostenere la collaborazione tra sicurezza e sviluppatori
di Ashley Ward, Technical Director, Office of the CTO, Palo Alto Networks
Si parla spesso di tensione tra sviluppatori e responsabili della sicurezza e la collaborazione tra i due team potrebbe sembrare strana. In realtà, spostare la sicurezza dalla fine del ciclo di vita dello sviluppo software a un punto precedente del processo può davvero fare la differenza. Integrare strumenti di protezione nella pipeline di sviluppo può mettere fine all’incubo di tentare di risolvere falle di sicurezza una volta terminato il processo.
Il potenziale per migliorare la consapevolezza e le attività di sicurezza in ambito DevOps è evidente quando si considera come semplici, ma gravi falle nella sicurezza cloud continuano a essere un problema. Ad esempio, il recente Cloud Threat Report del team di threat intelligence Unit 42, ha rivelato scarsa sicurezza nel software e nelle infrastrutture basate su cloud: il 74% delle installazioni cloud esaminate stavano eseguendo workload in Google Cloud con privilegi di amministrazione non sufficientemente sicuri.
“DevSecOps” è il termine che riassume il cambiamento culturale che deve avvenire per porre fine a queste e altre mancanze. Con questo approccio, i team che creano applicazioni non dovrebbero solo essere consapevoli di come il codice venga sviluppato e distribuito nel cloud e altrove, ma anche di come viene protetto. DevSecOps significa integrare la sicurezza ovunque, in modo che tutti i punti di contatto nel ciclo di vita dello sviluppo del software ne contengano un elemento.
L’obiettivo di DevSecOps è di rendere DevOps e i processi di sicurezza molto più efficienti e consentire di individuare eventuali problemi in anticipo.
Aprire le linee di comunicazione
Quindi, quali sono gli elementi fondamentali per il successo? Uno ovvio è abbattere le barriere che esistono tra i team di sviluppo e di sicurezza. Gli approcci sono diversi, si potrebbe inserire una persona di sicurezza in un team di sviluppo o formare gli sviluppatori sulle best practice di protezione. Qualunque sia il prescelto, un passo fondamentale è il superamento delle barriere di comunicazione. Un malinteso comune è che security significhi solo dire no a qualsiasi richiesta, in nome della riduzione del rischio. Dal punto di vista della sicurezza, invece, si pensa che gli sviluppatori si preoccupino solo di consegnare il codice, senza prendere in considerazioni eventuali rischi. Nessuno dei due punti di vista è fondamentalmente vero.
Linee di comunicazione aperte e comprensione reciproca sono fondamentali, ma è altrettanto importante che i team DevSecOps abbiano un set di strumenti integrato e capace di tracciare e affrontare le modifiche che potrebbero avvenire in azienda. Che si tratti di cambiamenti nei fornitori di cloud, nello stack di distribuzione o altro, c’è una chiara necessità di disporre di una piattaforma che funzioni ovunque ci si trovi – nel cloud o on-premise.
Approcci di sviluppo nativi del cloud scatenano nuovi modi di fornire sicurezza. La tecnologia oggi consente di ricercarne i problemi dalla schermata del codice dello sviluppatore, fino alla scansione automatica e la protezione degli ambienti di produzione. Inoltre, fondamento di una buona consapevolezza e visibilità della sicurezza è l’entità dell’utente e l’analisi comportamentale che può ridurre il rischio ulteriormente.
Gli strumenti sono un elemento essenziale per abilitare DevSecOps, ma rimangono altre sfide da risolvere che includono le “incognite sconosciute” affrontate dalle organizzazioni quando accelerano la loro trasformazione digitale.
Forse la più grande difficoltà che le aziende devono affrontare quando cercano di integrare la sicurezza nello sviluppo è spesso il desiderare una soluzione facile. In altre parole, “abbastanza sicurezza”, ma non è mai una grande idea.
Spostarsi a sinistra e coltivare un approccio DevSecOps richiederà tempo e sarà necessario investire in strumenti che permettano a sviluppatori e team di sicurezza di lavorare insieme e impegnarsi realmente per eliminare le barriere di comunicazione, sviluppare la giusta cultura e stabilire processi che consentano loro di collaborare per uno scopo comune.
Contenuti correlati
-
Dall’università al mondo del lavoro: come colmare il divario di competenze nella sicurezza informatica
Con l’intensificarsi delle minacce informatiche, la sicurezza del software è diventata una priorità per le aziende. È sorprendente notare che oltre il 70% delle organizzazioni è vittima di un crescente accumulo di debiti di sicurezza, con quasi...
-
Black-out digitale: le fabbriche italiane nel mirino dei criminali informatici?
Consideriamo uno scenario plausibile: un attacco ransomware compromette i sistemi OT di un’azienda manifatturiera, crittografando i sistemi di controllo di robot e macchine utensili. L’impatto? Linee di produzione bloccate, interruzione delle attività e richieste di riscatto milionarie....
-
Servizio ai clienti in un podcast nella proposta di automazione Turck Banner
Turck Banner Italia ha avviato una nuova iniziativa per coinvolgere i propri clienti con una modalità in cui il contenuto tecnico si integra in una forma di comunicazione diretta come una telefonata di lavoro, ma trasposta in...
-
Soluzioni di automazione su misura Keba in SPS 2024
Keba Industrial Automation sarà presente SPS 2024 di Norimberga (Pad. 7, Stand 470) dove punterà su soluzioni integrate, digitalizzazione e intelligenza artificiale. La versatilità del portfolio prodotti si riflette in Kemro X, la piattaforma aperta e flessibile...
-
Wibu-Systems guiderà tour esclusivi a SPS 2024, mostrando CodeMeter in azione
Wibu-Systems ospiterà tour guidati esclusivi ad SPS 2024, l’evento principe nel campo dell’automazione, che si terrà a Norimberga, Germania, dal 12 al 14 novembre 2024. Tra gli innovatori ivi riuniti, Wibu-Systems dimostrerà come la sua tecnologia di...
-
L’uso del PA12 colorato nella manifattura industriale: una soluzione innovativa
In ambito industriale, l’identificazione rapida e precisa delle componenti è fondamentale per garantire sicurezza ed efficienza operativa. Un esempio emblematico è rappresentato dal tappo dell’olio motore, comunemente di colore giallo. Questa scelta cromatica permette agli operatori di...
-
Soluzioni per Machinery & Automation Hilti dalla 34.BI-MU
Hilti Italia, ha presentato in occasione della 34.BI-MU in Fieramilano Rho, la biennale dedicata all’industria costruttrice di macchine, robot, automazione, digital e additive manufacturing, le sue soluzioni tecnologiche per il settore Machinery & Automation. Tra le novità di...
-
Troppi IoT? L’Industria 4.0 ha bisogno di sicurezza
Nell’era dell’Industria 4.0 le esigenze di interconnessione ed efficienza portano con sé una necessità fondamentale: la sicurezza. Adottare l’IoT e altre tecnologie per sviluppare processi e pratiche aziendali più efficienti e sostenibili può essere un’arma a doppio...
-
Direttiva NIS 2: un’opportunità per la sicurezza
Sei fasi per gestire il processo di conformità alla Direttiva NIS 2 e migliorare la sicurezza informatica di settori critici per la vita di tutti Le nuove norme di sicurezza, come la Direttiva NIS 2, mirano a...
-
Proteggere persone e sistemi con azionamenti di sicurezza, ottimizzando la produttività
In passato, la sicurezza delle macchine comportava banchi di relay che interrompevano l’alimentazione a ogni violazione delle condizioni, ad esempio quando un operatore entrava in una cabina o calpestava un tappeto a pressione. L’obiettivo era separare gli...