Drei Gründe, warum DevOps die Spielregeln der Security grundlegend verändert

Über die DevOps-Revolution und warum diese eine echte Herausforderung für die Cybersecurity darstellt, wurde schon viel geschrieben. Ein wichtiger Punkt: Security-Teams werden größtenteils nicht in die DevOps-Scrums und -Sprints eingebunden. Dass das Thema Sicherheit in diese Prozesse nicht integriert wird – und zwar ausgerechnet in einer Disziplin, die stolz darauf ist, die Mauern zwischen verschiedenen Arbeitsbereichen einzureißen, und viel Wert auf Zusammenarbeit legt – ist kein tragbarer Zustand. Schließlich entsteht dadurch eine erhebliche Cyber-Exposure-Lücke, aufgrund der Cybersecurity-Experten stets alle Hände voll damit zu tun haben, Assets und Applikationen nach deren Veröffentlichung zu identifizieren und abzusichern – ein Kampf gegen Windmühlen. Gibt es denn keine bessere Methode?

Zum Glück doch. Und zwar besteht die Lösung in noch mehr DevOps – genauer gesagt darin, Cybersecurity-Teams zur Einbindung von DevOps-Prinzipien in ihren eigenen Prozessen und Workflows zu ermutigen. Nachstehend finden Sie drei Gründe, warum das Kombinieren dieser beiden Praktiken die Spielregeln für Security grundlegend verändert.

1) Integrierte Sicherheit

Sicherheitstests müssen dort stattfinden, wo die Entwickler sind, also in der DevOps-Pipeline. Es geht darum, Sicherheitsprozesse an den Entwickler anzupassen und nicht anders herum. Dadurch wird sichergestellt, dass das Thema Sicherheit bei der Entwicklung nicht auf den zweiten Rang verwiesen wird und die Entwickler auch die Qualitätssicherungstests innerhalb ihrer Continuous Integration/Continuous Deployment (CI/CD)-Systeme durchführen. Die Integration von Sicherheit in DevOps ist somit ein großer Gewinn für die Cybersecurity und deren Wirksamkeit.

2) Automatisierung

Für eine funktionierende Cybersecurity ist es erforderlich, dass Tests und Audits überall dort, wo es möglich ist, automatisiert durchgeführt werden. Schließlich werden tagein tagaus Dutzende, wenn nicht gar Hunderte von Software-Updates veröffentlicht. Für Unternehmen, die allein auf manuelle Prozesse setzen, ist es daher praktisch unmöglich, in puncto Sicherheit am Ball zu bleiben. Viel sinnvoller ist es, Sicherheitstests bei jeder Build-Änderung bzw. der Erkennung neuer Schwachstellen automatisiert ablaufen zu lassen. Die fortlaufende Bereitstellung von Software und dazugehörigen Updates erfordert dementsprechend fortlaufende Sicherheitskontrollen.

3) Proaktive Prävention

Vor die Wahl gestellt, wenden Cybersecurity-Verantwortliche ihre Zeit ganz sicher lieber für die Einführung und Nutzung hochwertigerer Sicherheitsprogramme auf, um so für Compliance zu sorgen und das Risikomanagement zu verbessern (statt gegen Windmühlen zu kämpfen). Mit der proaktiven Identifizierung und Behebung von Schwachstellen bereits während der Entwicklung lässt sich – im Vergleich zur nachträglichen Behebung in der Produktion – erheblich Zeit und Geld sparen (laut einigen Schätzungen über 85 %). Das folgende alte Sprichwort gilt auch für das Thema Sicherheit: Vorbeugen ist besser als Heilen.

Wollen Sie im Jahr 2018 Ihre Sicherheitskosten reduzieren, blinde Flecken beseitigen und DevOps beschleunigen? Dann lesen Sie das IDG-Whitepaper 3 Gründe: Warum DevOps die Spielregeln der Security grundlegend verändert. Darin erfahren Sie, welche Schritte Sie unternehmen können, um einen proaktiveren Ansatz für eine bessere Zusammenarbeit zu fördern, Ihr Unternehmen zu schützen und Ihre Cyber Exposure-Lücke zu reduzieren. Sicherheit muss kein Hemmschuh sein – machen Sie sie zu Ihrem Wettbewerbsvorteil im digitalen Business.