Warum führen Unternehmen DevSecOps nur so langsam ein?

How does your business approach application development? If you’re like many companies, DevOps is your watchword, and with good reason. Historically, a strong DevOps program allowed for agile operations, shortened the development lifecycle, and gave customers consistent access to the immediate solutions they demand. DevOps has been a powerful solution for tech companies of all sizes – but the problem is that it’s not enough.

Over the last several years, industry experts have encouraged businesses to shift left, taking a DevSecOps approach to application development. Security, these experts argue, needs to be part of the initial development process if applications are actually going to be secure. Why, then, are so many companies hesitant to deploy a DevSecOps approach? It’s a complicated problem, but one that, with proper examination, can be solved to everyone’s advantage.

Whitepaper herunterladen DevSecOps Cloud-Sicherheitshandbuch

Argument #1: Die Verlangsamung

When the concept of DevSecOps was first introduced, one of the first arguments that companies offered against it was that, instead of encouraging agility, foregrounding security would slow application development down. This can happen, but only if companies don’t sufficiently automate the security code review process. As long as that happens, though, DevSecOps doesn’t actually make application development and deployment slower. It can even be faster than the older DevOps model.

 

Wie beschleunigt DevSecOps den Anwendungsentwicklungsprozess? Wenn Sie eine Anwendung erstellen und dann mit der Integration von Sicherheitselementen bis zum Ende warten, müssen Sie einen Weg finden, diese wichtigen Komponenten in die vorhandene Infrastruktur zu integrieren. Es ist, als würde man einen Turm bauen und dann versuchen, einen Träger in die Mitte zu setzen, nachdem er fertig ist. Es mag möglich sein, aber Sie müssen alles, was Sie bereits getan haben, über den Haufen werfen. Wenn Sie sich hingegen dafür entscheiden, nach links zu schalten und nach und nach Sicherheit einzubauen, haben Sie am Ende ein stärkeres System und Teile, die genau zusammenpassen.

Argument #2: More Breaches

It may sound ridiculous, but if you talk to some DevOps-focused businesses, you’ll occasionally hear people say that a DevSecOps approach leads to more security breaches, not fewer. Like other assertions about DevSecOps, though, this one is also rooted in serious misunderstandings of the practice. While top DevSecOps users report more breaches than their DevOps counterparts, experts agree that this is only because they’re aware of those breaches, not because they actually experience more of them. DevOps-based companies simply can’t detect security breaches.

 

Obviously, it’s better for businesses to be aware of potential or actual security risks because that enables them to actually address and remedy their weaknesses, but many businesses are hesitant to admit that they’re at risk. It’s important for companies to acknowledge that DevSecOps enables risk detection, and that acknowledging breaches is less likely to damage a company than being oblivious to digital attacks.

Argument #3: Expensive Implementation

Änderungen in den Geschäftspraktiken können kostspielig sein. Unabhängig davon, ob Sie von einem älteren Satz von Programmen wechseln oder die Programmiersprache wechseln, kann jede wesentliche Änderung das Geschäft auf Eis legen und dazu führen, dass Ihr Unternehmen Verträge und Gewinne verliert. Gilt das auch, wenn es um die Umstellung auf DevSecOps geht? Während die Unterstützung von Teammitgliedern beim Erlernen neuer Systeme kurzfristig die Dinge bremsen kann, kann DevSecOps über einen längeren Zeitraum Ihren ROI maximieren.

 

Wie kann ein DevSecOps-Ansatz Ihr Unternehmen profitabler machen? Sicherlich ist es finanziell von Vorteil, größere Sicherheitsprobleme zu verhindern, bevor sie auftreten, und bei Angriffen schnell handeln zu können, aber das ist nicht der einzige Grund. Erinnern Sie sich an das obige Argument, dass DevSecOps tatsächlich ein agileres System schafft, das schneller startet und aktualisiert, als dies mit einem DevOps-Ansatz möglich wäre. Die Unterstützung durch Experten kann Unternehmen auch dabei helfen, ihre Sicherheitsinfrastruktur zu automatisieren und einen zeitaufwändigen, hochtechnischen Prozess zu vereinfachen.

Argument #4: Prozesssilos

DevOps highlights two main elements of the application creation process – the development side and the operations, or customer-facing, side – but despite the shorthand conjunction of the two, it doesn’t really connect them. A DevOps approach still allows professionals to work within their familiar siloes. Developers build apps that enable smoother operations, and operations teams may provide guidance and feedback, but they don’t really have to work together. That all changes when companies shift-left to DevSecOps, and that’s a key reason why businesses have been reticent to make the change.

 

Im Allgemeinen haben Anwendungsentwickler und Sicherheitsexperten getrennt an Projekten gearbeitet, da erst später im Codierungsprozess Sicherheitsfunktionen zu Anwendung hinzugefügt wurden. Wenn jedoch die grundlegenden Entwicklungs- und Sicherheitsfunktionen gleichzeitig entwickelt werden, müssen diese zuvor isolierten Teams zusammenkommen. Um dies erfolgreich zu tun, muss die Führung die Kommunikation zwischen den Teams erleichtern und Cross-Training fördern. Sicherheitsexperten sind vielleicht keine professionellen Programmierer, aber sie können Entwicklern Anleitungen geben. Und umgekehrt müssen Entwickler erkennen, dass Sicherheit eine funktionale Priorität ist.

 

Die Verbesserung der Kommunikation zwischen Entwicklern und Sicherheitsexperten ist besonders wichtig, da die derzeitige Tendenz, Informationen in Silos zu isolieren, für viele Verstöße gegen die Cloud-Sicherheit verantwortlich ist. Tatsächlich deuten aktuelle Untersuchungen darauf hin, dass 60 % der Verstöße in der öffentlichen Cloud – der Benutzerseite der Anwendung – aufgrund unsachgemäßer Bereitstellung auftreten . Entwickler treffen einfach keine guten Konfigurationsentscheidungen, wenn es um die Cloud-Bereitstellung geht, zumindest nicht ohne Unterstützung, und das macht Unternehmen anfällig für Angriffe. Der Wechsel zu einer DevSecOps-Perspektive überbrückt diese Lücke, kann aber auch die Abwehrkräfte von Entwicklern stärken, die glauben, dass sie bereits Best Practices anwenden.

So gelangen Sie zu DevSecOps

These four arguments are just some of the reasons that businesses have been slow to shift-left and adopt a DevSecOps approach, but they’re hardly the only ones. Like so many other changes, companies are resistant to change, even when it’s in their best interest. The problem is that sometimes you have to let go of the old ways in order to be successful.

 

If your business is stuck in the old DevOps mentality, it’s time to move forward – and Check Point can help. Contact us today for a free security assessment and to learn more about how DevSecOps can benefit your company. Making a big change isn’t easy, but with the right support, you’ll see big improvements.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK