Zusammenführung von Entwicklungs- und Security-Teams

Unternehmen stehen vor der Herausforderung eine schnelle und effektive Softwareentwicklung mit hohen Anforderungen an die IT- und Datensicherheit in Einklang zu bringen. Die „Shift Left“-Sicherheit wird daher immer mehr zum festen Bestandteil des täglichen Vokabulars. [...]

Die Vision von Honeypot ist es, die weltweit größte Worklife-Community für technische Kandidaten aufzubauen. (c) Leonid - stock.adobe.com

Bei der konventionellen Vorgehensweise brachten die Entwicklerteams ihren Code in die Produktion, bevor Sicherheitsteams diesen Code auf Schwachstellen prüften. Dies war ineffizient und brachte eine Reihe von kostspieligen Sicherheitsproblemen mit sich. Shift Left reduziert dieses Risiko, ist kosteneffizient und erhöht die Sicherheit, wie Palo Alto Networks berichtet.

Viele Unternehmen haben immer noch Schwierigkeiten, trotz der bekannten Vorteile „auf links“ zu wechseln. Einige Entwickler sagen immer noch: „Sicherheit ist nicht mein Job, das ist Aufgabe des Sicherheitsteams!“ Sicherheitsteams wiederum fördern die Zusammenarbeit zwischen den beiden Teams bei der Behebung von Sicherheitsproblemen ebenso wenig. Es gibt aber Schritte, die Unternehmen umsetzen können, um diesen kulturellen Wandel zu erleichtern und alle Teams in die Softwareentwicklung einzubeziehen, indem sie gemeinsam „nach links marschieren“.

Vier Tipps um DevSecOps zu unterstützen

  • Realistische Fristen setzen: Das Management setzt oft eine Frist, die sich nach dem richtet, was die Interessengruppen sagen. Wenn dann etwas schiefgeht, kämpfen die Entwickler darum, die verlorene Zeit auszugleichen. Angesichts des Drucks, pünktlich zu liefern, ist Sicherheit in der Regel das Erste, was Entwickler ignorieren. Stattdessen sollten IT-Manager mit Problemen rechnen und diese im Rahmen der Projektabwicklung berücksichtigen. Wenn es zu einer Verzögerung kommt, sollte das Management niemals Entwickler rügen. Indem Entwicklern Unterstützung bei der Priorisierung von Sicherheit zuteilkommt, lässt sich der Wandel zu einer sicherheitsbewussten Kultur beeinflussen.
  • Einstellung und Schulung von Sicherheitsingenieuren, die kodieren: Damit die beiden Teams zusammenarbeiten können, muss das Sicherheitsteam in der Lage sein, Entwicklern bei der Lösung ihrer Probleme zu helfen. Durch die Einstellung von Sicherheitsfachkräften, die programmieren und die Schulung der bestehenden Teammitglieder, kann das Sicherheitsteam die Entwickler mit der Einstellung „Wir werden das gemeinsam lösen“ ansprechen.
  • Internes Rebranding für SecOps: Es ist eine gute Idee für Sicherheitsteams, sich einen neuen Namen auszudenken, um sich in den Köpfen der Entwickler neu zu positionieren und den bereits bestehenden Ruf abzuschütteln. Eine Möglichkeit ist ein lustiges Akronym wie „Development Operations Partners in Excellence“ oder „DOPE“-Team. Der Name sollte eine Partnerschaft mit den Entwicklern verdeutlichen.
  • Automatisierung: Best Practices sollten durch API-basierte Tools automatisiert werden, die Sicherheit in die CI/CD-Pipeline integrieren. Durch die Implementierung von Tools zur Automatisierung der Sicherheit erhalten Entwickler die Unterstützung, die sie benötigen, um Sicherheit einzubauen, ohne das Entwicklerteam übermäßig zu belasten.

Einige Sicherheitsmanager machen den Fehler, den Entwicklern etwas aufzuzwingen, und denken, dass sie sich dadurch mehr um die Sicherheit kümmern werden. Aber Shift Left erfordert es aber nach Meinung von Palo Alto Networks, Mitarbeiter nicht zu drangsalieren, sondern in einen gemeinsamen Prozess miteinzubeziehen.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*