Технологические команды должны согласовать достижение общих целей, чтобы обеспечить надежную защиту и быстрое внедрение приложений.
Компания VMware, Inc., ведущий поставщик ПО для виртуализации и лидер в области корпоративного программного обеспечения, представила результаты исследования взаимоотношений между IT-подразделениями, службами безопасности и командами разработчиков в процессе перехода организаций на модель безопасности Zero Trust («Нулевое доверие»).
Исследование Bridging the Developer and Security Divide, проведенное аналитическим агентством Forrester Consulting по заказу VMware показало, что система безопасности по-прежнему воспринимается в организациях как барьер: 52% разработчиков считают, что политики безопасности сдерживают внедрение инноваций.
Forrester Consulting опросила 1475 руководителей IT-отделов и служб безопасности и выяснила, что только каждый пятый (22%) понимает, какие политики безопасности он должен соблюдать. Настораживает тот факт, что более четверти (27%) опрошенных разработчиков вообще не участвуют в принятии решений по политике безопасности, несмотря на то, что многие из них существенно влияют на их работу. Организации, в которых служба безопасности и команда разработчиков находятся в хороших взаимоотношениях, способны ускорить цикл разработки программного решения на пять рабочих дней по сравнению с теми организациями, в которых какое-либо взаимодействие отсутствует, показывая, что это ставит под угрозу скорость вывода на рынок и конкурентное преимущество продукта.
73% респондентов согласились с тем, что их высшее руководство уделяет больше внимания укреплению взаимоотношений между командой разработчиков и службой безопасности, чем это было два года назад, но эти отношения все ещё остаются натянутыми. Более того, каждый третий (37%) руководитель сообщил, что рабочие команды в их компаниях неэффективно взаимодействуют по рабочим вопросам или не предпринимают никаких шагов для укрепления взаимоотношений между службой безопасности и командой разработчиков. Отсутствие ответственных за конкретные задачи, низкий уровень коммуникации между командами и расставление разных приоритетов негативно влияют на совместную работу.
«Это исследование показывает, что необходимо изменить восприятие системы безопасности в компании. Вместо того, чтобы воспринимать службу безопасности как команду, которая активно работает только в целях устранения нарушений и утечек данных, или как тех, кто «препятствует инновациям», необходимо внедрить безопасность в рабочие процессы сотрудников и решения, которые они производят, — отмечает Рик Макэлрой (Rick McElroy), главный специалист по вопросам стратегии кибербезопасности компании VMware. — Безопасность должна стать командным видом спорта, в котором ИБ-служба работает совместно с IT-подразделением и разработчиками, чтобы обеспечить защиту облачных сред, приложений и всей цифровой инфраструктуры. Мы должны сформировать культуру, в которой все команды придерживаются общих интересов, достигают общие цели или ключевые показатели, а также говорят на одном языке. Когда ИТ-подразделение, ИБ-служба и группа разработчиков участвуют в принятии решений, проектировании и реализации, это приносит большую пользу бизнесу, и нам всегда надо об этом помнить».
Общие командные приоритеты и постоянное взаимодействие станут залогом движения вперед, и в этом направлении прогресс уже достигнут. Более половины респондентов (53%) ожидают, что ИБ-службы и команды разработчиков будут объединены в течение ближайших трех лет. При этом 42% опрошенных ожидают, что безопасность за тот же период станет неотъемлемой частью процесса разработки. Все больше специалистов признают, что согласованность между командами позволяет компаниям сократить разрозненность команд (71%), разработать более безопасные приложения (70%) и повысить гибкость при внедрении новых рабочих процессов и технологий (66%).
Методология
В апреле 2021 года компания VMware и независимая исследовательская организация Forrester Consulting провели исследование, в котором приняли участие 1475 IT-менеджеров, ИБ-специалистов и топ-менеджеров из множества отраслей: ИТ, производство, финансы, ритейл и здравоохранение. Исследование проводилось в 26 странах мира, в том числе в Австралии, Бельгии, Канаде, Китае, России, Франции, Финляндии, Германии, Индии, Италии, Израиле, Японии, Норвегии, Новой Зеландии, Нидерландах, Польше, Саудовской Аравии, Южно-Африканской Республике, Испании, Сингапуре, Южной Корее, Турции, Великобритании, США, ОАЭ.
С полной версией исследования, содержащим рекомендации по устранению разногласий между командой разработчиков и службой безопасности, можно ознакомиться по ссылке.