Se la sicurezza è uno sport di squadra, perché per molte organizzazioni è ancora una competenza specifica?
Forrester Consulting ha analizzato per conto di VMware le attuali dinamiche dei rapporti tra team IT, security e sviluppo includendo i risultati nella ricerca “Bridging the Developer and Security Divide“.
Il problema: il mancato allineamento dei team
Gli addetti alla sicurezza che devono garantire la protezione delle organizzazioni per cui lavorano spesso escludono gli sviluppatori dall’attività di pianificazione security, chiamandoli in causa solo quando è il momento di applicare le procedure, e questo non fa che complicare rapporti già delicati.
Solo uno sviluppatore su cinque sostiene di comprendere quali siano le policy di sicurezza che deve rispettare, mentre (e questo è il dato più allarmante) più della metà degli sviluppatori intervistati non viene coinvolta nelle decisioni riguardanti le policy di sicurezza, malgrado molte di esse abbiano un forte impatto sul loro ruolo.
Le organizzazioni in cui i team di sicurezza e sviluppo hanno un rapporto positivo possono ridurre il ciclo di vita dello sviluppo del software di cinque giorni per ogni release rispetto alle aziende dove questo rapporto non esiste, a dimostrazione dell’impatto di questa sinergia sul time-to-market e sul vantaggio competitivo.
Circa i tre quarti degli intervistati riconoscono che i dirigenti senior della loro azienda sono adesso più attenti a rafforzare il rapporto tra i team di sviluppo e di sicurezza rispetto a quanto facevano alcuni anni fa, sebbene le tensioni tra i reparti non siano svanite. Un decision maker su tre, ad esempio, ha dichiarato che i team delle loro organizzazioni non collaborano in modo efficace né fanno nulla per rafforzare il rapporto tra i team di sviluppo e di sicurezza. L’assenza di ruoli definiti per i team di sviluppo, la mancanza di comunicazione tra i team e priorità diverse hanno un notevole impatto sulla collaborazione.
Un nuovo modo di percepire la sicurezza
Con la sicurezza percepita ancora come un ostacolo nelle organizzazioni e il 52% degli sviluppatori che ritiene che le policy di sicurezza soffochino l’innovazione, occorre un cambiamento di percezione di più ampia portata tra i team che gestiscono la tecnologia. Piuttosto che essere vista come qualcosa a cui si ricorre solo per risolvere le violazioni o che ‘intralcia’ l’innovazione, la sicurezza dovrebbe essere incorporata nei processi, nelle persone e nelle tecnologie.
La sicurezza deve diventare uno sforzo congiunto di addetti IT e sviluppatori per garantire la protezione degli ambienti cloud, delle app e dell’intera infrastruttura digitale. Questo approccio impone chiaramente la necessità di creare una cultura dove tutti i team condividono interessi, metriche e obiettivi e dove si parli la stessa lingua. L’azienda ottiene uno straordinario valore aggiunto quando addetti all’IT, alla sicurezza e allo sviluppo sono tutti coinvolti nel processo decisionale, nella progettazione e nell’esecuzione.
Cogliere i vantaggi
Priorità e impegni condivisi tra i team saranno la strada del futuro e, da questo punto di vista, ci sono già dei progressi evidenti. Un dato molto interessante è che più della metà delle persone intervistate prevede che i team di sicurezza e di sviluppo saranno unificati entro tre anni. Inoltre, il 42% ritiene che, in questo stesso arco di tempo, la sicurezza diventerà maggiormente integrata nel processo di sviluppo. Molti intervistati riconoscono che l’allineamento tra i team permette alle aziende di ridurre i silos tra i team (71%), creare applicazioni più sicure (70%) e aumentare l’agilità per l’adozione di nuovi workflow e tecnologie (66%).
Insights principali
Lo studio fornisce diverse raccomandazioni:
- Avere una vision solida che parta dall’alto per ridurre i conflitti tra le priorità e per dotare i team degli strumenti e dei processi di cui hanno bisogno
- Includere gli specialisti della sicurezza nei team di sviluppo invece di imporre la sicurezza dall’alto
- Parlare un linguaggio comune con gli sviluppatori per eliminare gli attriti tra i team
Questi sono solo alcuni degli interessanti risultati del nuovo studio di Forrester. Scarica e leggi la ricerca completa “Bridging the Developer and Security Divide” per informazioni approfondite.