Cyber security + DevOps = sant

2016 har den ökade digitaliseringen på allvar tvingat fram DevOps-skiftet men samtidigt blir utmaningarna allt mer tydliga, inte minst för oss säkerhetsexperter. Hur ser vi till att hinna med i det rasande utvecklingstempot?

2016 känns lite som året då vi på allvar började se det skifte mot DevOps – det vill säga strategier som vill minska avståndet mellan utveckling och IT-drift – som det pratat så mycket om tidigare. Det är min uppfattning är att analysbolaget Gartner var ganska ”spot on” i sin förutsägelse att 25% av alla globala IT-bolag skulle genomföra detta skifte under 2016. När man tänker efter är det är ju inte så konstigt. Om det är något som brukar få bra gehör så är det väl koncept som utmynnar i att ”bli klar med produkten snabbare” eller kortare ”time to market”.

Nu när IT-företagen antingen börjar använda DevOps-strategier och till och med börjar anpassa sig till den kultur som DevOps utgör, så blir utmaningarna med detta tydliga. En av dessa är hur vi som jobbar med cyber security ska anpassa vårt arbetssätt. Vilka verktyg behöver vi i vår verktygslåda för att faktiskt hinna med i det rasande snabba utvecklingstempot?

Som säkerhetsmänniska var jag först skeptisk till hela DevOps-rörelsen och kände att den ökade hastigheten skulle göra att man helt enkelt inte hann med. Säkerheten har ju en tendens att vara något man inte riktigt hinner med i vanliga fall – hur skulle det då gå nu? Men jag har med tiden börjat se det som en stor möjlighet, ett bra tillfälle att förändra säkerhetsarbetet och göra det effektivare.

Är du en av de som i flera år tjatat om att ”säkerhet måste vara med från början”, men aldrig riktigt fått det att bli så? I så fall kan skiftet till DevOps vara din stora möjlighet. En av fördelarna med DevOps är ju att alla intressenternas funktionella input tas in tidigare (detta innefattar naturligtvis även informationssäkerhet) för att sedan hanteras automatiserat. Detta för att garantera förutsägbara och korta releasecykler.

Detta är något som många av oss tyvärr är lite ovana vid. Men att jobba integrerat i utvecklingsprocessen är något jag tror är helt nödvändigt. För att underlätta samarbetet brukar jag förespråka att alla inblandade – med ansvar för säkerhet, utveckling, förvaltning, kvalitet och test – så långt det går använder samma sorts verktyg och processer.

Skiftet till DevOps innebär inte bara ett smidigt sätt att integreras i utvecklingsprocessen. Om vi säkerhetsfolk dessutom anammar samma verktyg och automatiserar på samma sätt som ”de andra” kan vi inte bara automatisera bort enklare uppgifter utan även införa mer kontroller under utveckling.

Det kan handla om att få in våra kodanalysverktyg och kontroller i utvecklingsprocessen och som ett resultat få säkrare kod. Kod som i slutändan når produktionsmiljön. Vi kan genomföra kontinuerliga och automatiserade attacker mot både kod och system redan under utveckling. Det gör att problem identifieras mycket tidigt i utvecklingsprocessen istället för i det där sista testet inför driftsättningen.

Till syvende och sist gör DevOps-utvecklingen, och den ökade automatiseringen den medför, att jag kan fokusera på de större och komplexare frågorna – och det är ju här som vi säkerhetsexperter gör som mest nytta.