4 Tipps für den Aufbau einer sicherheitsbewussten Entwicklungskultur
Kultur ist das A und O, wenn es darum geht, innerhalb einer Entwicklungsabteilung für Sicherheitsbewusstsein zu sorgen. Ohne die richtigen Werte fehlt den Entwicklungs- und Sicherheitsteams oft ein gemeinsamer Nenner, was zu Hürden bei der Projektauslieferung und Unternehmensentwicklung führen kann.
Vor Kurzem sprachen Zane Lackey, unser Global Head of Security Product Strategy, und Chief Product Architect Sean Leach in einer Diskussionsrunde mit Sandy Carielli über die Herausforderungen und Vorteile des Aufbaus einer Secure-DevOps-Kultur in Zeiten der schnellen digitalen Transformation. Kurz gesagt, das gesamte Unternehmen muss den Mehrwert erkennen – und die eigentliche Arbeit, um dies zu erreichen, beginnt damit, den Teams und ihren Fähigkeiten dan nötige Vertrauen entgegenzubringen. Hier einige Highlights aus dieser Diskussion:
1. Sorgen Sie für Vertrauen zwischen Entwicklungs- und Sicherheitsteams
Entwicklungs- und Sicherheitsteams sind vielleicht nicht immer einer Meinung, aber Entwickler und DevOps-Teams müssen nicht nur ihrer Technologie vertrauen, sondern auch den Menschen, mit denen sie zusammenarbeiten. Bei Fastly haben wir Schritte unternommen, um dieses Vertrauen aufzubauen, indem wir Security-Fachleute in Entwicklerteams und Entwickler in Sicherheitsteams eingebunden haben, damit alle auf dieselben Ziele hinarbeiten können. Dies fördert den Teamgeist und letztendlich auch das Vertrauen. Sobald dieses Vertrauen geschaffen ist, können die Teams die Vorteile genießen, die Security für den Application Lifecycle bringt: Observability, Schutz und Transparenz.
Sean findet, dass der beste Dollar-für-Dollar-ROI darin besteht, sich mit anderen Teams auch privat zu treffen – ob beim Mittagessen per Videochat oder bei virtuellen Happy Hours. Die Teams tauschen sich sowohl über das Thema Sicherheit aus als auch darüber, wie sie sich Security auf ihren Aufgabenbereich auswirkt, und entwickeln ein Bewusstsein für diese Themen.
Der Aufbau von Vertrauen untereinander kommt auch den Kunden zugute. Unsere kollaborative Organisationsstruktur bedeutet, dass Entwickler und Sicherheitsexperten als Team zusammenarbeiten, um Kunden, die dringend Hilfe bei der Skalierung benötigen, einen lückenlosen Service zu bieten.
2. Suchen Sie nach einem gemeinsamen Nenner
Sicherheitsfachleute sind dafür bekannt, ständig Nein zu sagen. Zane vergleicht dieses „Nein“ mit dem Feueralarm im Büro: Es gibt ihn aus gutem Grund, er sollte aber nicht jeden Tag ausgelöst werden.
Um zu vermeiden, dass andere Teams bei Projekten versuchen, das Thema Security zu umgehen, gilt es zunächst einen Weg zum Konsens zu finden. Security sollte Unternehmen vorwärts bringen. Finden Sie also heraus, was Ihre Kollegen benötigen, um dies zu bewerkstelligen. Was brauchen sie, um ihre Arbeit erledigen zu können? Sobald Sie die Anforderungen verstanden haben, stehen Sie ihnen nicht ständig im Weg. Sagen Sie nach Möglichkeit nicht einfach Nein, sondern liefern Sie Alternativen. Sorgen Sie für Prozesse, mit denen Ihre Teams ihre Aufgaben sicher ausüben können. Wenn Sie ihnen bessere Möglichkeiten bieten, ihre Arbeit zu erledigen, werden sie diese auch nutzen.
Durch die Zusammenarbeit mit den Teams und die Berücksichtigung von Faktoren wie Richtlinien, Technologie, Architektur und dem gesamten Ablauf, werden Entwicklung und Sicherheit für eine sichere Anwendungsbereitstellung aufeinander abgestimmt.
3. Nutzen Sie Security als Einstellungskriterium für neue Entwickler
Um das typische Tauziehen zwischen Sicherheits- und Entwicklungsteams zu vermeiden, sind sich Sean und Zane einig, dass es wichtig ist, Kandidaten während des Vorstellungsgesprächs nach ihrer Haltung zum Thema Sicherheit zu fragen – ganz gleich, auf welcher Seite des Secure-DevOps-Tisches sie sitzen. Kandidaten mit dem passenden Sicherheitsbewusstsein zeigen Bereitschaft zur Zusammenarbeit, sind aufgeschlossen und verfolgen gemeinsame Ziele.
Fragen Sie sie, wie sie in der Vergangenheit mit internen Konflikten zwischen Security und Entwicklung umgegangen sind. Empathie muss ein Kernbestandteil Ihrer Teamkultur sein. Das Verständnis für die täglichen Kämpfe Ihrer Kollegen und die Fähigkeit, Mitgefühl zu zeigen, kann Ihren Teams helfen, stärkere Bande zu knüpfen und auf lange Sicht erfolgreicher zu sein.
Auch hier geht es wieder um Vertrauen. Vertrauenswürdige Teammitglieder, die die übergeordneten Unternehmensziele verstehen, können den Aufbau einer Sicherheitskultur fördern.
4. Holen Sie beim Thema Security durch internes Marketing alle an Bord
Hochqualifizierte Sicherheitsexperten verbringen die meiste Zeit bei der Arbeit an Sicherheitsprojekten mit gesenktem Kopf. Sie wissen oft nicht, wie sie im Unternehmen am besten für ihre Services werben sollen. Wenn sie dem Rest des Unternehmens bewusst machen können, was sie tun, hilft das, eine Kultur der Zusammenarbeit und des Vertrauens zu schaffen und beim Thema Security in der gesamten DevOps-Umgebung für mehr Glaubwürdigkeit zu sorgen.
Genau an dieser Stelle bietet ein Security-Champions-Programm einen echten Mehrwert. Sicherheitschampions und auch Entwickler, die sich für Sicherheit einsetzen, sorgen für Aufklärung im gesamten Unternehmen. Sie unterrichten die Leute über die neuesten Sicherheitstools und -plattformen, wie sie verwendet werden und warum sie wichtig sind. Bei Fastly haben wir einen ganzen Slack Kanal, der den neuesten Ergebnissen der Sicherheitsforschung, Methoden und Tools gewidmet ist. Unsere Mitarbeiter lieben diesen Kanal, weil er ihnen ein Verständnis darüber vermittelt, wie wir das Thema Security in die Praxis umsetzen.
Wenn Sie mehr über den Aufbau eingespielter Secure-DevOps-Teams wissen möchten, sehen Sie sich das ganze Gespräch an.