HugOps dan Hopium: cara membuat tim pengembang dan keamanan bekerja sama

Dengan hampir 3,5 juta pekerjaan keamanan siber yang harus diisi di seluruh dunia pada akhir tahun 2021 saja, ada kesenjangan besar dalam bakat keamanan siber. Bagian dari ini adalah akademis, karena proses untuk beralih dari pengembang ke pakar keamanan siber itu sulit dan mahal. Tetapi sisi lain adalah budaya, dengan ketegangan antara pengembang yang ingin membangun hal-hal keren dan tim keamanan yang ingin menjaga semuanya tetap aman.

Pada panel Live BetaKit baru-baru ini, John O’Brien, Security Lead, Customer Success di Microsoft Canada; Dave Burnison, Advokat Teknis di GitHub; dan Cara Wolf, CEO Ammolite Analytics, membahas apa yang menyebabkan terputusnya hubungan antara pengembang dan keamanan, mengapa kebutuhan keamanan siber menuntut solusi sekarang, dan bagaimana menjembatani kesenjangan tersebut.

Keretakan yang tumbuh tetapi tidak perlu

Saat ini tidak ada jalur akademis yang jelas untuk mempelajari keamanan siber. Siswa harus terlebih dahulu mendapatkan gelar ilmu komputer atau teknik, kemudian mendaftar untuk program khusus tambahan, seringkali dengan biaya tambahan yang signifikan. Sebagian besar pengembang melewatkan langkah ini dan langsung terjun ke dunia kerja, karena melewatkan pelatihan keamanan siber yang penting.

Begitu berada di dunia kerja, tim keamanan siber sering kali dikucilkan dari bagian bisnis lainnya, dilihat sebagai langkah kepatuhan dan bukan bagian dari proses pengembangan. Akibatnya, mereka sering diadu dengan pengembang – dan sebaliknya.

Wolf melihat ini sebagai kegagalan pendidikan yang berakibat melukai lintasan karir lebih banyak orang junior yang sebaliknya akan tertarik dengan keamanan siber. Dia mengatakan bahwa industri menghindari mempekerjakan junior karena mereka tidak diajarkan keamanan dengan desain sebagai bagian dari pendidikan mereka, yang menambah kebutuhan mereka akan bimbingan dan sponsor.

TERKAIT: Keterampilan untuk Keamanan: Menempa tenaga kerja masa depan

“Kami benar-benar perlu memasukkan keamanan berdasarkan desain di setiap dan semua pelatihan serta dalam pengembangan profesional saat kami membawa para pengembang muda,” kata Wolf.

Bagi O’Brien, hasilnya juga menyebabkan tekanan yang tidak perlu bagi pengembang dan tim keamanan.

“Salah satu hal yang kami lupakan adalah pengembang adalah orang-orang seperti kami,” kata O’Brien.

Dari sudut pandang bekerja di bidang pengembangan dan keamanan siber, O’Brien menjelaskan bahwa pengembang memiliki banyak tekanan untuk menyelesaikan sesuatu dengan cepat. Jadi ketika keamanan tidak dibangun ke dalam proses dan mereka mengalami “tembok bata yang biasanya keamanan,” mereka mengalami gesekan yang tidak sehat.

“Jika kita menyalahkan mereka karena melakukan apa yang telah kita perintahkan, maka saya tidak melihat bagaimana kita akan benar-benar mundur dan memperbaiki masalah, atau bahkan memahami masalahnya,” kata O’Brien.

Penjahat siber yang lebih cerdas menuntut keamanan siber yang lebih cerdas

Sementara kesenjangan bakat cybersecurity telah ada untuk sementara waktu, itu lebih luas dari sebelumnya pada saat yang paling buruk. Wolf mengatakan sebagian besar catatan yang bocor dan dicuri terkait dengan perangkat lunak, melampaui produk inti perusahaan dan masuk ke ekosistem platform yang lebih luas yang digunakan karyawan sehari-hari.

“Ini harus menjadi sesuatu yang dilihat di seluruh rantai pasokan,” kata Wolf.

Wolf mencatat bahwa ada juga tekanan dari pelanggan yang menuntut keamanan lebih dari perusahaan. Sementara dia mendukung tuntutan ini, dia juga mengatakan pelanggan harus bersedia membayar untuk itu, karena mempekerjakan tim yang kuat untuk membangun produk yang aman akan lebih mahal daripada mengambil jalan pintas.

TERKAIT: Praktik Terbaik untuk Mengintegrasikan Keamanan dengan DevOps

O’Brien, di sisi lain, mencatat hikmahnya: dengan biaya ransomware menjadi sangat jelas, lebih mudah untuk membuat kasus bisnis untuk berinvestasi dalam keamanan. Sebelumnya, kata dia, para profesional keamanan kesulitan menjelaskan nilai keamanan. Sekarang, mereka dapat menunjukkan biaya eksplisit seperti membayar uang tebusan atau membayar untuk pemulihan versus berinvestasi dalam keamanan di muka.

Berinvestasi di muka juga menjadi kebutuhan bagi beberapa asuransi siber, kata Wolf, di mana penjamin emisi tidak akan memberikan polis kecuali sebuah bisnis dapat membuktikan bahwa mereka telah berinvestasi dalam keamanannya.

HugOps dan hopium

Melihat ke arah solusi, panel membahas beberapa strategi untuk bisnis untuk menjembatani kesenjangan pengembang-keamanan di organisasi mereka.

Membangun budaya keamanan yang sehat: Burnison merekomendasikan agar bisnis fokus pada memberikan nilai kepada pengguna akhir, yang secara inheren akan mencakup keamanan. Untuk mencapai fokus ini, dia mengatakan perusahaan membutuhkan budaya yang mendukung karyawan versus menyalahkan seseorang jika terjadi kesalahan.

“Ini tentang melihat sesuatu melalui pemeriksaan mayat yang tidak bercacat,” kata Burnison. “Bukan untuk mengatakan siapa yang merusaknya, tetapi apa yang salah.”

O’Brien menambahkan bahwa budaya keamanan yang baik adalah penentu. Alih-alih tim keamanan hanya menunjukkan masalah, ia merekomendasikan agar tim keamanan memberi pengembang langkah-langkah untuk memperbaiki masalah. Ini adalah bagian dari tren yang lebih besar yang O’Brien harap semua orang sadari: semua karyawan memiliki peran dalam keamanan.

“Anda harus keluar dari pola pikir di mana profesional keamanan adalah satu-satunya yang dapat memikirkan risiko,” kata O’Brien.

Jangan takut dengan pihak ketiga: Wolf mengatakan bahwa analis pihak ketiga yang baik tidak hanya akan memberi tahu Anda cara meningkatkan sistem Anda dan menutup celah yang tidak jelas, tetapi mereka juga merupakan penyangga penting bagi karyawan junior yang mungkin takut untuk berbicara. Mitra pihak ketiga dapat mendengar kekhawatiran secara rahasia, kemudian menyampaikan pendapat mereka sendiri atau melatih karyawan junior tentang cara menyajikan informasi secara efektif kepada pimpinan senior.

“Saya pikir sangat penting untuk memiliki pihak ketiga yang masuk dan melihat organisasi Anda,” kata Wolf.

Kelola dengan anggun, tetapi juga dengan harapan: Wolf menambahkan bahwa meskipun sangat penting untuk tidak menyalahkan seseorang setiap kali terjadi kesalahan, perusahaan rintisan perlu mewaspadai pendulum yang berayun terlalu jauh ke arah lain menuju tempat di mana perusahaan “merokok hopium” dan mentolerir ketidakmampuan.

“Kami harus tetap kompetitif, kami harus tetap menguntungkan, dan kami harus bekerja dalam parameter itu atau kami tidak akan ada lagi,” kata Wolf.

Bagi Wolf, mengelola dengan baik sesuai harapan berarti melatih karyawan dengan baik agar mereka tidak mengulangi kesalahan. Namun, jika karyawan melakukannya, maka mereka harus pergi.

“Anda tidak mampu membayar ketidakmampuan,” kata Wolf. “Tidak ada yang bisa.”

Kerja tim membuat impian (keamanan siber) berhasil

Cara utama untuk membuat keamanan siber lebih mendarah daging dalam budaya perusahaan adalah dengan memecah silo kerja dan memfokuskan semua pekerjaan pada pelanggan. O’Brien mengatakan bahwa fokus pelanggan secara inheren akan mencakup keamanan siber, di antara kekhawatiran lain seperti kegunaan dan aksesibilitas, karena detail itu penting bagi pelanggan.

O’Brien kemudian menjelaskan pendekatan Microsoft untuk masalah ini, yang disebut One Engineering System (atau disingkat “1ES”). Dalam 1ES, tim lintas fungsi disatukan untuk membangun produk tertentu versus di departemen tradisional seperti desain, pengembangan, dan keamanan.

Dalam sistem ini, setiap orang bekerja menuju tujuan yang sama untuk membangun produk yang berharga bagi pelanggan. Burnison, yang bekerja di Microsoft sebelum pindah ke GitHub, menambahkan bahwa ini menciptakan peluang eksposur yang besar bagi karyawan. Pengembang dapat melihat lebih banyak tentang cara menyematkan keamanan saat mereka membangun, sementara tim keamanan mendapatkan paparan terhadap keputusan berdasarkan pasar saat dibuat, memberi mereka cara untuk menyuarakan keamanan demi desain.

Wolf setuju dengan pendekatan ini, menambahkan bahwa pendekatan ini menyatukan semua orang untuk tidak hanya membangun produk yang aman, tetapi juga membangun produk berbasis pasar yang akan membantu perusahaan dengan tujuan pendapatan dan profitabilitas.

“Adalah tanggung jawab seluruh ekosistem untuk memahami sifat ancaman terhadap kita dan bagaimana kita semua merespons sebagai peradaban dan ekosistem,” kata Wolf.

.

Author: wpadmin

Leave a Reply

Your email address will not be published. Required fields are marked *