Betere en veiligere IT door Devops en Security samen te voegen

Hardnekkig

Het eilandjesfenomeen is zo hardnekkig omdat het iets krachtigs in zich heeft. Doordat collega’s samenwerken met ‘soortgelijken’, worden ze goed in wat ze doen. Beheerders zijn expert in het beheer van it-systemen en ontwikkelaars in het bouwen van applicaties, terwijl securityexperts boven op veiligheid zitten. Het probleem hierbij is dat samenwerken niet altijd soepel gaat, terwijl dit wel noodzakelijk is. Doordat iedere specialist enkel aandacht heeft voor z’n eigen verantwoordelijkheid, is wederzijds begrip vaak ver te zoeken. Tussen ontwikkelaars en beheerders is hier in het verleden met de komst van de devops-werkwijze aandacht en tijd aan besteed, maar het securityteam is hierbij vaak uitgesloten. Het is dan ook niet gek dat dit tot een vorm van frustratie of irritatie leidt. Dat dit de kwaliteit van it-oplossingen niet ten goede komt, spreekt voor zich; om het even of het om je eigen it-afdeling gaat of die van klanten.

Mondjesmaat

De oplossing voor het separaat werken dient zich mondjesmaat aan. Binnen organisaties neemt de samenwerking tussen devops en security eerder toe dan af. In sommige gevallen smelten ze helemaal samen. Dit is een ontwikkeling die aanmoediging verdient. Als het om it gaat, kun je devops en security namelijk niet los zien van elkaar. In de ideale situatie krijgt elk verzoek en elke melding of storing ook direct vanuit het behandelende team een security-analyse, zodat impact en risico meteen duidelijk zijn. Dat is een andere situatie dan wanneer een verzoek vanuit een team onverwacht door de security-afdeling wordt afgewezen.

Door medewerkers uit beide teams samen te laten werken en verantwoordelijkheden te delen, ontstaat er wederzijds begrip. Medewerkers begrijpen waar een ander mee bezig is en welke zaken daar belangrijk zijn. Dit kunnen ze meenemen in hun eigen werkzaamheden. Nog beter is om it-taken vanuit twee oogpunten aan te vliegen. Zo ontstaat er een vloeiende lijn in de manier waarop wijzigingsverzoeken of storingen worden opgepakt. Daardoor is sneller en vlekkeloos te reageren.

Er zijn verschillende scenario’s denkbaar als devops en security een eenheid vormen. Misschien zijn er wel meerdere devops-teams tegenover één securityteam? Dan kan een oplossing zijn om aan ieder devops-team iemand van security te koppelen, terwijl de securityspecialisten onderling hun binding behouden. Een ander scenario is dat een van de expertises is uitbesteed, en dan komt er een andere dynamiek van samenwerken met een site reliability engineer en third party management om de hoek kijken. Wat de situatie ook is, het gaat er uiteindelijk om dat je de stroom samenbrengt. Dat er eenheid komt en er meer samenhang is.

Rolletjes

Samenwerken loopt natuurlijk niet van de ene op de andere dag op rolletjes. Teams zijn gewend aan hun eigen manier van werken en communiceren. Om snel te wennen aan de nieuwe manier van werken, kan het effectief zijn om de processen zo in te richten dat ze samenwerking afdwingen. Door dingen bijvoorbeeld bij elkaar te moeten verifiëren of valideren.

Als de samenwerking er in grote lijnen is, vinden medewerkers er vanzelf hun weg in op dagelijkse basis. Uiteindelijk zorgt dat voor beter functionerende it-systemen en minder veiligheidsrisico’s. En dat is waar het uiteindelijk om draait.

Deze blog verscheen eerder bij Computable.