Что важнее: безопасность или скорость вывода новых продуктов?
«Ключ к успеху — это не выбор между скоростью и безопасностью, а создание культуры, где оба аспекта являются неотъемлемой частью процесса»
«Проект Феникс. Как DevOps устраняет хаос и ускоряет развитие компании»
Вадим Терекян, директор по управлению ИТ инфраструктурой и информационной безопасностью, ОРС «Читай город – Буквоед», рассказал о “философии” безопасной разработки, которая помогает достичь значительного понимания и эффективного сотрудничества между командами ИТ и ИБ.
Приоритеты в разработке: что выбрать, безопасность или скорость вывода новых продуктов на рынок?
В современном бизнесе, вопрос о том, чему отдать приоритет — безопасности или скорости вывода новых продуктов на рынок — становится все более актуальным. С одной стороны, стремление к быстрому запуску новых продуктовых решений может обеспечить конкурентное преимущество. С другой стороны, игнорирование аспектов безопасности может привести к серьезным последствиям
На примере нескольких кейсов мы с вами рассмотрим, как эти два аспекта взаимодействуют друг с другом и как они влияют на сотрудничество между ИТ и информационной безопасностью (ИБ).
Проблематика: Бизнес vs ИБ
Кейс 1: Интеграция с внешними партнерами
Предположим, компания решает интегрироваться с внешними партнерами для обмена данными. Бизнесу нужно “вчера”, требуют быстрого решения. Однако ИБ настаивает на необходимости построении выделенного канала, настроек дополнительной аутентификации и т.д.
В этом случае возникает конфликт интересов. Бизнес хочет быстро запустить проект, чтобы не упустить возможности на рынке, тогда как ИБ стремится минимизировать риски. Если игнорировать требования безопасности, это может привести к утечкам данных, финансовым и репутационным потерям. Следовательно, необходимо находить баланс между этими двумя подходами.
Кейс 2: Быстрая авторизация через SMS
В другом примере бизнес хочет внедрить быструю авторизацию через SMS-провайдера.
Мы понимаем, что такой подход требует тщательного анализа всех точек интеграции, для предотвращения возможные атак, таких как DDoS или брутфорс. Бизнес настаивает на скорейшем запуске системы для экономии средств, но без должного мониторинга и защиты это может обернуться многомиллионными потерями.
Здесь также важно понимать, что безопасность и скорость не всегда являются взаимоисключающими. Внедрение системы мониторинга и дополнительных мер защиты может занять время, но это значительно снизит риски в будущем. Таким образом, ИТ и ИБ должны работать в тесном сотрудничестве для достижения оптимального результата.
Кейс 3: Персонализированные доступы и тестирование
Третий кейс касается разработки программного обеспечения и доступа к production серверам. Разработка хочет быстро выкатить изменения, однако доступ к production среде должен быть ограничен для предотвращения случайных сбоев и ошибок, разработка хочет все править на “лету”.
ИБ настаивает на том, что все изменения должны проходить через тестовые контуры.
Это подчеркивает важность процесса DevSecOps, где безопасность должна быть встроена в жизненный цикл разработки программного обеспечения. В этом контексте ключевым является создание культуры совместной ответственности между командами ИТ и ИБ.
Взаимодействие ИТ и ИБ: Совместная работа для поиска “ключа к успеху”
Для успешного баланса скорости и безопасности, необходимо наладить эффективное взаимодействие между ИТ и ИБ.
Несколько важных рекомендаций:
1. Создание единой команды:
Безопасность не должна быть исключительно сферой ответственности подразделения ИБ. Все сотрудники, вовлеченные в выпуск нового продукта – PO/PM, QA, разработчики, SRE и специалисты по ИБ – должны участвовать в обеспечении информационной безопасности на всех этапах разработки.
Хочется отметить, что концепция единой команды тесно связана с философским подходом к организации работы. Подобно тому, как в философии все пути ведут к фундаментальным основам познания, в нашей работе все роли и компетенции должны стремиться к общему пониманию принципов безопасности.
2. Сдвиг безопасности на более ранние этапы разработки:
Для эффективного управления безопасностью, она должна быть встроена в процесс разработки с самого начала. Таким образом, вопросы безопасности решаются на раннем этапе, а остальные этапы могут быть сфокусированы на повышении эффективности и скорости разработки. Стоит отметить, что при грамотном проектировании мы значительно увеличим time-to-market. В то время как в случае обнаружения проблемы на позднем сроке может понадобиться значительная переработка кода, что в свою очередь увеличит время вывода на рынок в несколько раз.
3. Автоматизация процессов безопасности:
На каждом этапе цепочки CI/CD, в том числе в LifeTime организовать процессы по непрерывному сканированию разрабатываемых продуктов. Так, при помощи автоматической проверки безопасности, каждый набор кода проверяется на соответствие стандартам безопасности до того, как он будет выведен в production, это не только увеличит эффективность, но и значительно ускорит процесс разработки.
В заключении хочется подчеркнуть:
Вопрос приоритета между безопасностью и скоростью вывода новых продуктов на рынок не имеет однозначного ответа. Всегда существует множество факторов и нюансов.
Однако важно понимать, что, если мы все вместе будем развивать “философию” безопасной разработки, стремиться к единому подходу и гармоничному сочетанию внутри компании, мы достигнем значительного понимания, которое приведет к более чем эффективному сотрудничеству между командами ИТ и ИБ.
Создание культуры совместной ответственности, внедрение современных решений и автоматизация процессов могут значительно улучшить ситуацию.
В конечном итоге, успешная интеграция безопасности в бизнес-процессы компании позволит не только защитить ее от потенциальных угроз, но и ускорить вывод продуктов на рынок, что позволяет достичь конкурентных преимуществ в современном мире.
Данную статью хочется закончить фразой:
«Безопасность и скорость не должны быть взаимоисключающими. Это не дилемма “или-или”, а вопрос “и-и”».
