Membangun kembali kepercayaan antara pengembang dan keamanan [Q&A]

Membangun kembali kepercayaan antara pengembang dan keamanan [Q&A]

Tuntutan lingkungan TI bisnis modern seringkali dapat menimbulkan gesekan antara pengembang dan tim keamanan yang dapat menghambat keberhasilan peluncuran keamanan cloud.

Pengembang ingin memberikan fitur secepat mungkin dan tim keamanan ingin semuanya seaman mungkin, sehingga selalu ada konflik kepentingan. Kami berbicara dengan David Hendri, CTO dan salah satu pendiri startup keamanan cloud Solvo, untuk menemukan cara membangun kembali kepercayaan antara pengembang dan keamanan dengan menciptakan bahasa yang sama.

BN: Hambatan khusus apa yang menghalangi hubungan pengembang/keamanan yang sehat?

DH: Terlepas dari kenyataan bahwa kedua tim pada akhirnya menginginkan yang terbaik untuk organisasi, bintang pemandu yang diikuti oleh pengembang dan tim keamanan pada dasarnya berbeda. Pengembang berfokus untuk menghadirkan fitur dan produk baru ke pasar secepat mungkin, sementara tim keamanan berfokus untuk menciptakan lingkungan yang paling aman. Karena inovasi dan keamanan, meski sama-sama penting, terkadang berbenturan, tim-tim ini terus menerus menemui hambatan yang pada akhirnya bisa merugikan. Misalnya, kepemimpinan keamanan akan sering memperkenalkan persyaratan untuk mematuhi standar keamanan terbaru tanpa memeriksa untuk melihat bagaimana persyaratan ini berdampak pada proses pengembangan. Mereka telah melakukan ini begitu sering sehingga tim keamanan sayangnya, mendapatkan label ‘regulator’, memperlambat kemajuan yang sedang dikerjakan pengembang. Namun, secara bersamaan, pengembang sering mengabaikan keamanan sebagai sesuatu yang harus ditangani pasca produksi, daripada mengintegrasikan standar keamanan sebelumnya dalam Software Development Life Cycle (SDLC).

BN: Jenis metode dan risiko serangan apa yang paling rentan terhadap tim pengembangan? Bagaimana ini berubah dari tahun-tahun sebelumnya dan apa yang bisa kita harapkan di tahun baru?

DH: Serangan ke dalam rantai pasokan perangkat lunak memungkinkan pelaku ancaman menyebabkan gangguan sebelum aplikasi berhasil diproduksi. Serangan rantai pasokan perangkat lunak telah meningkat secara dramatis dan dengan demikian, telah memaksa tim pengembangan untuk tetap berada di depan metode dan risiko serangan yang berubah ini. Contoh kasusnya adalah kerentanan Log4j pada Desember 2021, di mana jutaan perangkat dikompromikan dari satu ketidakamanan rantai pasokan perangkat lunak. Contoh lainnya adalah pada tahun sebelumnya, pada tahun 2020, ketika perusahaan IT SolarWinds menjadi korban malware yang dikirimkan melalui server internal perusahaan selama pembaruan perangkat lunak reguler. Masalah yang dihadapi adalah bahwa kode tidak aman tetap berada di lingkungan produksi sampai diperbaiki, dan tanggung jawab sering kali berada di tangan pengembang. Inilah sebabnya mengapa penjahat dunia maya tanpa henti mencari kerentanan zero-day, ingin mengeksploitasinya untuk motivasi yang berbeda sebelum organisasi dapat menambalnya. Untuk mengurangi risiko ini tahun ini dan seterusnya, bekerja untuk meningkatkan hubungan antara tim keamanan dan pengembang sangat penting. Saat organisasi terus mentransisikan infrastruktur mereka ke cloud, mereka juga harus mengatasi permukaan serangan yang berbeda yang rentan terhadap penyerang. Standar dan peraturan kepatuhan yang semakin kompleks akan mengarahkan organisasi untuk mencari teknologi dan strategi untuk menyederhanakannya dan memitigasi risiko yang menyertainya.

BN: Apa langkah-langkah yang dapat dilakukan CISO untuk mengurangi gesekan antara kedua kelompok?

DH: CISO dapat menggunakan ini sebagai peluang untuk membingkai kesuksesan tim pengembangan dengan cara yang selaras dengan pertumbuhan bisnis. Misalnya, CISO harus menegaskan kembali bahwa memiliki produk yang aman menambah nilai yang melekat padanya, terutama di zaman di mana semuanya serba digital. Calon klien sangat sering mencari produk yang menjunjung tinggi standar keamanan dan ini merupakan faktor penentu penting untuk pembelian. Setelah budaya inti ditetapkan, CISO harus memeriksa proses yang dimainkan dan menerapkan keamanan secara taktis ke dalam siklus hidup pengembangan. Mereka harus memastikan bahwa pakar keamanan menjadi bagian dari fase pembangunan dan perencanaan, sehingga pengembang dapat memahami apa yang diperlukan untuk kode keamanan.

BN: Apa saja langkah cepat yang dapat diambil oleh pimpinan pengembangan aplikasi untuk mengurangi friksi?

DH: Untuk mengurangi friksi di sisi pengembangan, pimpinan harus memastikan wawasan dan tujuan tim mereka didengar dan dijelaskan dengan jelas kepada tim keamanan dan pimpinan TI. Ini akan memungkinkan prospek pada tim pengembangan dan keamanan untuk membuka jalan bagi integrasi yang paling mulus dalam alur kerja. Pemimpin teknik juga harus menerapkan keamanan sebagai KPI teratas untuk keberhasilan fitur atau produk baru daripada hanya berfokus pada seberapa baru dan inovatif suatu fungsi. Terakhir, semua developer harus diberikan pelatihan formal tentang penyewa dasar keamanan cloud; ini adalah investasi yang akan terus membayar jangka panjang.

BN: Apakah kepemimpinan bisnis berperan, dan jika demikian, apa yang dapat dilakukannya?

DH: Tujuan kepemimpinan bisnis adalah menyatukan tujuan keamanan dan tujuan rekayasa untuk menciptakan bahasa bersama yang sama. Seringkali, dibutuhkan pergeseran budaya dari tim kepemimpinan eksekutif. Pemimpin bisnis harus menetapkan tujuan mereka untuk mengomunikasikan bahwa produk yang aman adalah bagian penting dari penawaran kompetitif dan harus menyampaikan kepada pengembang bahwa keamanan adalah pendukung bisnis, bukan pemblokir pengembangan. Membangun budaya yang menyatukan kedua tujuan bukanlah tugas yang mudah dan akan membutuhkan investasi dalam pelatihan, pendidikan, dan pemikiran ulang proses untuk memecah cara kerja yang kuno.

Kredit gambar: Iofoto/Shutterstock

Author: Kenneth Henderson