Régi közhely: minden szabály annyit ér, amennyit érvényesíteni lehet belőle. Ez hatványozottan igaz a DevSecOpsra, amely a biztonságot a fejlesztés első lépésétől beépíti az alkalmazásfejlesztés és -üzemeltetés teljes életciklusába. Az alapelv az, hogy a biztonságért egyaránt felelős a fejlesztő, az üzemeltető és biztonsági csapat, valamint a felhasználó. Összeállításunk előző részében bemutattuk, hogyan néz ki egy elméleti DevSevOps-folyamat, és milyen alapfeltételek kellenek a megvalósításához.
Az alábbiakban a gyakorlati megvalósítás néhány aspektusát gyűjtöttük össze. Az ugyanis önmagában nem vezet eredményre, hogy a menedzsment körlevélben szétküldi: holnaptól minden dolgozótól elvárás a security-first hozzáállás, és ezt a munkaköri leírásokba is belefoglalják. Sőt még a rendszeres képzés sem feltétlenül elegendő, hogy érvényesüljön egy DevSecOps keretrendszer minden előnye. Bár könnyű belátni – elméletileg –, hogy a DevSecOps hasznos, megfelelő vezetés vagy struktúra nélkül nem csupán a haszna sikkad el, hanem félreérthetők is lesznek a céljai.
A bevezetésben éppen ezért kulcsfeladatok hárulnak az informatikai vezetőkre, nevezzék őket bárhogy (CIO, CDO, CTO, IT director...). Ezt a kiemelt szerepet részben pozíciójuk változásával nyerték meg. Ahogy az IT egyre inkább az üzleti folyamatok szerves, nélkülözhetetlen elemévé vált – többek között az üzleti alkalmazások iránti igények növekedése miatt –, úgy lettek egyre fontosabb szereplői a menedzsmentnek. Míg korábban az IT-vezetők többsége jellemzően a gazdasági, pénzügyi vezető irányítása alatt dolgozott, ma már sok szervezetben ott ülnek az igazgatótanácsban, ami fontos jelzése az IT és az üzlet szétválaszthatatlanságának.
A Progress 2022-ben egy globális felmérésében azonban még azt a meglehetősen szomorú tényt rögzítette, hogy az IT (és DevOps) döntéshozók 86 százalékának jelent kihívást a DevSecOps elveinek alkalmazása. A válaszadók több mint fele azt mondta, hogy nem érti, hogyan is illeszthető szervesen a fejlesztés-üzemeltetés folyamatába a biztonság. Ez eredményezte azt, hogy bár a megszólított szervezetek többsége – részben tanácsadói javaslatokat követve – döntött arról, hogy az IT működését átállítja DevSecOps modellre, az átállás lassan haladt.
Ennek felelősségét egyébként a döntéshozók magukra is vállalták: 73 százalékuk ismerte el, hogy többet is tehetnének a siker érdekében, például az átállást stratégiai célként kellene kezelni (76 százalék). Intenzívebben kellene dolgozni a munkahelyi kultúra fejlesztésén, ami miatt a szervezetben képtelenek egységben szemlélni a time-to-market felpörgetésének igényét és a biztonsági követelmények érvényesítését.
Egyéni és csapat skillek: hard helyett sof
Milyen a DevSecOps szemléletű IT-vezető? Általánosan igaz, hogy a jó vezetők fontos ismérve az együttműködésre törekvés. DevSecOps-környezetben ennek érvényesítése annyiban nagyobb kihívás, hogy kiszélesedik az együttműködök köre, tehát azt a bizonyos "shift left" elmozdulást, amivel a biztonság és megfelelőség helyének és szerepének a változását szokták jellemezni az alkalmazásfejlesztésben, a vezetőnek is végre kell hajtania.
Bővíteni kell például a belső és külső képzésekbe bevonandók körét. Szakértők rendre felhívják a figyelmet, hogy a képzés szerepe a DevSecOps-környezet javításában kiemelt jelentőségű. Az általános biztonsági képzések már nem elgendőek. A fejlesztők tudását a biztonság és a fejlesztés közötti együttműködés terén is napra készen kell tartani. Emellett folyamatosan törekedni kell a biztonsági csapat és az üzemeltetés közötti kommunikáció javítására is.
Az ilyen lépéseknek a pozitív hatásai gyorsan jelentkeznek: a fentebb már idézett Progress-kutatásban a DevSecOpsot bevezető cégek felső vezetőinek negyede számolt be 0-6 hónapon belüli hatékonyságjavulásról. Sikerült például csökkenteni a biztonsági auditok idő- és költségigényét, miközben jelentősen tudták emelni az alkalmazásbiztonság szintjét.
Vezetői teendők a DevSecOps-képességek fejlesztéséhez
● Holisztikus megközelítés. A vezetőnek egységben kell látnia a teljes megvalósítandó folyamatot, a feladatokat és a rendelkezésre álló csapatot. Ez segíti a feladatok priorizálását és az összes munkatárs bevonást.
● Szerepkörök, felelősségi körök és folyamatok pontos meghatározása. Világos és követhető szabályzatokat és eljárásokat kell kidolgozni, valamint pontosan meg kell határozni a munkatársak szerepét és felelősségi körét csapatokon belül és a többi csapattal történő együttműködésben.
● Az együttműködést akadályozó tényezők azonosítása. Általánosságban igaz, hogy javítja egy szervezet hatékonyságát, ha magas a bizalmi szint csapaton belül és csapatok között. Ennek a bizalomnak a kulcsa a jó kommunikáció, aminek fejlesztésére érdemes időt-energiát fordítani. Már a szerepkörök meghatározásánál érdemes figyelembe venni a munkatársak soft skilljeit, például a kommunikációs képességeit.
● Járjunk nyitott szemmel! A jó vezető folyamatosan nyomon követi a DevSecOps-stratégiát befolyásoló új technológiákat és megközelítéseket (felhőalapú fejlesztés, mesterséges intelligencia stb.), és a jó gyakorlatokat igyekszik beépíteni a folyamatokba. De a technológiai központú megközelítés önmagában nem célravezető, figyelmeztetnek szervezetfejlesztési szakemberek: a sikeres modernizációhoz figyelni kell a technológia, a folyamatok és a szervezeti kultúra egyensúlyára.
● Tanulni, tanulni, tanulni. A folyamatos technológiai és szervezetfejlesztési képzések nélkül alacsony lesz az új technológiák hasznosulása. A DevSecOps ugyanis egyszerre technikai és kulturális kérdés.
● A felső vezetés támogatása nélkül nem megy. Az IT-vezető felelőssége, hogy meggyőzze a menedzsment a DevSecOp hasznosságáról, és lefordítsa az üzlet nyelvére előnyeit. Ezzel biztosíthatja a haladáshoz szükséges forrásokat.
Az IT-vezető felelőssége, hogy reális célokat tűzzön ki, és azok eléréséhez támogatást (pénz, paripa, fegyver – és a személyes kiállás) nyújtson, a sikerért pedig személyes felelősséget kell vállalnia. A célokat közös céllá kell transzformálnia, amely megalapozza a csoportbizalmat is. Erre lehet építeni a csapatmunkát, valamint egy olyan együttműködési kultúrát, amiben mindenki láthatja az egyéni hozzájárulását a projekthez, és ezáltal azt is, hogy részese a közös sikernek.
Az a vezető tud ilyen szervezeti kultúrát kialakítani, aki fejlett soft skillekkel (kritikus gondolkodás, projektmenedzsment képességek, magas érzelmi intelligencia stb.) rendelkezik, és azokat a munkatársaiban is folyamatosan erősíti. Ez nemcsak a csapatok kohézióját, hanem a csapatokon átívelő együttműködés képességét, ezáltal az IT üzletre gyakorolt pozitív hatását is látványosan javítja. Már a DevOps is segített az üzleti folyamatok mélyebb megértésében, az üzletmenet-folytonosság javításában. A DevSecOps hatása azonban sokkal mélyrehatóbb: úgy képes rövidíteni a time-to-marketet, hogy közben maximálisan figyelembe veszi a biztonsági és megfelelőségi követelményeket.
A téma a CIO Hungaryn is előkerül. Részvételi feltételek a konferencia honlapján.
Ez a cikk független szerkesztőségi tartalom, mely a Clico Hungary támogatásával készült. Részletek »
a melléklet támogatója a Clico
CIO kutatás
Merre tart a vállalati IT és annak irányítója?
Hiánypótló nagykép a hazai nagyvállalati informatikáról és az IT-vezetőkről: skillek, felelősségek, feladatkörök a múltban, a jelenben és a jövőben.
Töltse ki Ön is, hogy tisztábban lássa, hogyan építse vállalata IT-ját és saját karrierjét!
Az eredményeket május 8-án ismertetjük a 17. CIO Hungary konferencián.
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?