בעידן הדיגיטלי חובה להדק את הקשר בין המפתחים לאבטחת המידע
מאת ניב רז
הפער בין מחלקת הפיתוח לבין מחלקת האבטחה מוזכר לעיתים קרובות כגורם שמשפיע על ארגונים במגזרים רבים, גורם לפיצול, מגביר את הסיכון, מקשה על אחידות ומעכב פיתוח עסקי. ארגונים מצפים ממפתחים למלא תפקיד חשוב באסטרטגיית האבטחה של הארגון, אך בפועל פחות מחצי מהמפתחים ו-38% מאנשי האבטחה מסכימים שמפתחים נוטלים חלק בתכנון אסטרטגיות אבטחה. לארגונים יש נטייה להרחיק מפתחים מתכנון אסטרטגיות אבטחה, למרות שהם מצפים מהמפתחים לציית להן. הדבר שמרחיב עוד יותר את הפער הוא ששליש ממקבלי ההחלטות בארגונים לא פועלים ביעילות למען חיזוק הקשרים בין צוותי האבטחה לצוותי הפיתוח.
נתונים אלו נאספו במחקר שערכה לאחרונה VMware בשיתוף עם פורסטר. המחקר מדגיש את הפערים בין הצוותים ואת ההשפעות שלהם על הארגונים. המנהלים שנסקרו הכירו בפער ובהשלכותיו אבל לא היה להם מספיק מידע על הנושא הרגיש הזה. המחקר, שהקיף 1,500 אנשי אבטחה, מפתחים ומקבלי החלטות בארגונים, מציג בפני המנהלים נתונים על הפער שבין המפתחים לאנשי האבטחה וממליץ על הדרכים לקשר ביניהם למען שיפור התוצאות העסקיות. המחקר של פורסטר דוחק במנהלים לגשר על ההפרדה בין האבטחה לפיתוח ולאפשר שיתוף פעולה ויצירה של כלים ליישום אבטחה בשלב מוקדם של מעגל הפיתוח. כך, לדוגמא, ההנהלה תצטרך במקרים מסוימים לדחות את מועד היציאה לשוק של פתרונות חדשים כדי להבטיח שצוותי הפיתוח עונים על מטרות האבטחה.
לפי המחקר, 45.1% מהמפתחים מאמינים שהם מעורבים בתכנון האבטחה, בעוד שאחוז נמוך יותר של אנשי אבטחה (37.8%) העידו שהם מערבים את צוותי הפיתוח. הנתונים מעידים אם כן ששיעור ההשתתפות של מפתחים בתכנון אסטרטגיית האבטחה נמוך בפועל ממה שהם סבורים. יותר מ80% מהמנהלים ציינו שהם מושפעים מהחלטות בתחום האבטחה אבל רק כחצי מהם דיווחו שהם מעורבים בהליכים עצמם. פער זה ממחיש את ההפרדה הקיימת ברבים מהארגונים ואת חוסר האמון בין הצוותים. כדי לגשר על כך, מנהלים צריכים לעודד שיתוף פעולה בין צוותי הפיתוח והאבטחה, להציב יעדים הדדים בין הצוותים ולתרגם את מדיניות האבטחה באופן שיתאים לכל העובדים.
ארגונים יכולים וצריכים לעשות יותר כדי לשלב את האבטחה בעבודת המפתחים. רק ל-22% מהמפתחים שנשאלו הייתה הבנה של מדיניות האבטחה הארגונית, דבר שגרם לבלבול, אי יישום וחוסר יעילות. כדי לחזק את הקשר בין הגופים בארגון וכדי לא לפגוע בגופי הפיתוח יש להקצות את הזמן והמשאב הנדרש לשילוב אופטימלי בין צוותי האבטחה וצוותי הפיתוח, לפשט את הנהלים ולהפוך אותה לחלק משגרת היום יום שלהם.
צוותי האבטחה והפיתוח בדרך כלל לא חולקים מטרות או מדברים באותה ה"שפה". תפקיד צוות האבטחה הוא למנוע פגיעויות, לבקרם ולטפל בהן, בעוד שמפתחים מספקים יישומים עסקיים ולכן הם יוצאים מנקודת מבט, אוריינטציה והשקפת עולם שונות. למרות זאת, ארגונים מצפים לאחידות ולשיתוף פעולה בין הצוותים הללו. צוותי אבטחה ופיתוח בעלי קשרים טובים יכולים לקצר את משך זמן פיתוח התוכנה בחמישה ימים לעומת צוותים שיש ביניהם יחסים שליליים. הגיע הזמן לשנות את הדרך שבה צוותי האבטחה והמפתחים חולקים באחריות ולהניע תרבות משותפת בכל חלקי הארגון.
הכותב הוא מנהל הטכנולוגיות בישראל ב-VMware.