Betere en veiligere IT door Devops en Security samen te voegen
Eilandjes zijn binnen menig organisatie een bekend fenomeen. Niet alleen tussen verschillende afdelingen of teams, maar zelfs binnen een enkele afdeling. Kijken we naar it, dan opereren beheer-, security- en ontwikkelteams niet zelden los van elkaar. Gek, want het één kan je niet los zien van het ander.
Als beheer- en ontwikkelteams als één team optrekken in de vorm van devops, dan komt dat het functioneren van het it-landschap ten goede. Maar waar begin je om ook de samenwerking met het securityteam te verbeteren?
15 mei 2024 | Blog | Door: Marcel Stangenberger, Technical Strategy Lead
Deel
Hardnekkig
Het eilandjesfenomeen is zo hardnekkig omdat het iets krachtigs in zich heeft. Doordat collega’s samenwerken met ‘soortgelijken’, worden ze goed in wat ze doen. Beheerders zijn expert in het beheer van it-systemen en ontwikkelaars in het bouwen van applicaties, terwijl securityexperts boven op veiligheid zitten. Het probleem hierbij is dat samenwerken niet altijd soepel gaat, terwijl dit wel noodzakelijk is. Doordat iedere specialist enkel aandacht heeft voor z’n eigen verantwoordelijkheid, is wederzijds begrip vaak ver te zoeken. Tussen ontwikkelaars en beheerders is hier in het verleden met de komst van de devops-werkwijze aandacht en tijd aan besteed, maar het securityteam is hierbij vaak uitgesloten. Het is dan ook niet gek dat dit tot een vorm van frustratie of irritatie leidt. Dat dit de kwaliteit van it-oplossingen niet ten goede komt, spreekt voor zich; om het even of het om je eigen it-afdeling gaat of die van klanten.
Wat de situatie ook is, het gaat er uiteindelijk om dat je de stroom samenbrengt.
Mondjesmaat
De oplossing voor het separaat werken dient zich mondjesmaat aan. Binnen organisaties neemt de samenwerking tussen devops en security eerder toe dan af. In sommige gevallen smelten ze helemaal samen. Dit is een ontwikkeling die aanmoediging verdient. Als het om it gaat, kun je devops en security namelijk niet los zien van elkaar. In de ideale situatie krijgt elk verzoek en elke melding of storing ook direct vanuit het behandelende team een security-analyse, zodat impact en risico meteen duidelijk zijn. Dat is een andere situatie dan wanneer een verzoek vanuit een team onverwacht door de security-afdeling wordt afgewezen.
Door medewerkers uit beide teams samen te laten werken en verantwoordelijkheden te delen, ontstaat er wederzijds begrip. Medewerkers begrijpen waar een ander mee bezig is en welke zaken daar belangrijk zijn. Dit kunnen ze meenemen in hun eigen werkzaamheden. Nog beter is om it-taken vanuit twee oogpunten aan te vliegen. Zo ontstaat er een vloeiende lijn in de manier waarop wijzigingsverzoeken of storingen worden opgepakt. Daardoor is sneller en vlekkeloos te reageren.
Er zijn verschillende scenario’s denkbaar als devops en security een eenheid vormen. Misschien zijn er wel meerdere devops-teams tegenover één securityteam? Dan kan een oplossing zijn om aan ieder devops-team iemand van security te koppelen, terwijl de securityspecialisten onderling hun binding behouden. Een ander scenario is dat een van de expertises is uitbesteed, en dan komt er een andere dynamiek van samenwerken met een site reliability engineer en third party management om de hoek kijken. Wat de situatie ook is, het gaat er uiteindelijk om dat je de stroom samenbrengt. Dat er eenheid komt en er meer samenhang is.
Uiteindelijk zorgt dat voor beter functionerende it-systemen en minder veiligheidsrisico’s.
Rolletjes
Samenwerken loopt natuurlijk niet van de ene op de andere dag op rolletjes. Teams zijn gewend aan hun eigen manier van werken en communiceren. Om snel te wennen aan de nieuwe manier van werken, kan het effectief zijn om de processen zo in te richten dat ze samenwerking afdwingen. Door dingen bijvoorbeeld bij elkaar te moeten verifiëren of valideren.
Als de samenwerking er in grote lijnen is, vinden medewerkers er vanzelf hun weg in op dagelijkse basis. Uiteindelijk zorgt dat voor beter functionerende it-systemen en minder veiligheidsrisico’s. En dat is waar het uiteindelijk om draait.
Deze blog verscheen eerder bij Computable.
Lees meer van onze collega's
Sparren over het onderwerp?
Neem contact met ons op!