Nell’economia globale è importante sottolineare che, tra le molteplici attività che interessano un Chief Information Office, rientra anche quella di promuovere una stretta collaborazione tra i team IT e di security, con l’obiettivo di migliorare l’efficienza, la sicurezza e la produttività di un’azienda.
Per tutti coloro che non rientrano in questi reparti, i team IT e di Security vengono spesso confusi.
Eppure, i due hanno ruoli e obiettivi diversi che spesso entrano in conflitto tra loro. Ad esempio, i team IT vengono sottoposti a grandi pressioni per adattare e implementare con tempestività le soluzioni DEVOps, correndo il rischio di semplificare eccessivamente il processo di implementazione. Nel frattempo, il team di security ha il compito di proteggere le soluzioni e i prodotti in uso da eventuali minacce, assicurandosi anche che le nuove versioni siano altrettanto sicure.
Veloce o sicuro: è necessario scegliere?
L’attenzione dell’IT per la velocità non va assolutamente d’accordo con il focus sulla sicurezza.
La soluzione non dipende da un compromesso tra velocità e sicurezza ma nel favorire la collaborazione tra i due team. Assumendo il punto di vista di un CIO diventa facile capire come questi team possano sfruttare le reciproche competenze e conoscenze per ottenere risultati migliori.
Come promuovere la collaborazione tra IT e Security
Strategia n. 1: i team IT e di sicurezza hanno bisogno di un’unica fonte di dati, condivisa.
Sembra abbastanza ovvio ma in realtà molti team IT e di sicurezza si affidano a più fonti, disparate e potenzialmente in conflitto tra loro, peggiorando ulteriormente il conflitto esistente tra i due team. Anche se i compiti sono diversi, potrebbero avvalersi degli stessi dati, aggiungendo che la raccolta e l’elaborazione automatizzata dei dati può contribuire a ridurre l’errore umano e i pregiudizi basati sul ruolo. Affidarsi a un’unica fonte di dati significa anche ridurre le rielaborazioni e le repliche inutili, un aspetto fondamentale per aiutare entrambi i team a essere più efficienti. Ivanti Neurons for ITSM offre un’unica fonte di dati per asset, policy di sicurezza e gestione degli eventi.
Strategia n. 2: adottare un modello DevSecOps
DevSecOps non consiste semplicemente nel prevedere gli aspetti di sicurezza nei processi DevOps. Si tratta di un cambiamento fondamentale in cui la sicurezza è parte integrante del progetto DevOps e viene integrata fin dall’inizio, contribuendo ad allineare le priorità. L’adozione di DevSecOps è vantaggiosa anche per l’IT, in quanto garantisce che la sicurezza non rallenti lo sviluppo intervenendo in ritardo. Inoltre, è vantaggioso per la sicurezza in quanto aiuta a garantire che il team IT non stia rilasciando prodotti che potrebbero presentare lacune di sicurezza che influenzerebbero gli obiettivi del team di security.
Strategia n. 3: Creare un quadro di riferimento
L’applicazione di patch è un’attività impegnativa anche per i team IT altamente specializzati che si complica ulteriormente se è sprovvista di un contesto di sicurezza. La gestione delle vulnerabilità basata sul rischio è fondamentale per il rilevamento e nella correzione delle minacce, garantendo che i team si concentrino sulle minacce giuste al momento giusto. Ancora meglio, l’intelligence automatizzata basata sui rischi crea un quadro di riferimento senza generare ulteriore lavoro per il team. E quando le soluzioni di intelligence basate sul rischio possono integrarsi con altri strumenti di gestione della sicurezza e dell’IT, tutti i principali stakeholder ottengono visibilità sullo stesso contesto e sulle stesse informazioni, in modo da poter affrontare il problema tutti insieme.
Strategia #4: Diventare il “cliente tipo“
Avete dato priorità alla sicurezza a scapito dell’accesso e dell’usabilità? Avete dato priorità alle funzionalità rispetto alla sicurezza? In Ivanti, si adotta il concetto di “cliente tipo”: assumendo di essere il primo cliente a utilizzare di qualsiasi soluzione prima di rilasciarla pubblicamente. In questo modo è facile comprendere a fondo il funzionamento delle soluzioni IT e di sicurezza. Adottate le soluzioni e accettate l’uso e il feedback del mondo reale prima di finalizzare qualsiasi sforzo DevSecOps. Una cosa è ipotizzare l’impatto di una soluzione sull’IT, sulla sicurezza e sugli altri team dell’azienda, un’altra cosa è conoscerne l’impatto e ascoltare il feedback direttamente dagli stakeholder.
Conclusioni
Invece di entrare in conflitto, l’IT e la security possono integrarsi e supportarsi reciprocamente. Entrambi i team hanno solo bisogno del giusto supporto e di strategie adeguate. Ecco come creare un’azienda più efficiente e sicura, insieme.
