Przyspieszający świat stanowi spore wyzwanie dla szefów IT. Modele funkcjonowania działów IT zmieniają się szybko, jednak realne zmiany wdrażane są znacznie wolniej niż mogłoby to wynikać z padających deklaracji. Wbrew temu, co można sądzić, natura ludzka nie lubi zmiany i najczęściej dopiero przymuszona czynnikami zewnętrznymi przystępuje do działania. Tym razem jednak trzeba będzie szybko i sprawnie podjąć rękawicę, którą rzucają działom IT cyberprzestępcy.
Dynamika zmian biznesowych i zmiany na arenie międzynarodowej spowodowały, że do wyzwań IT – polegających na szybkim i racjonalnym kosztowo budowaniu stabilnych operacyjnie usług wspierających biznes – dołączyła potrzeba maksymalizacji działań związanych z bezpieczeństwem. Można oczywiście powiedzieć, że przecież bezpieczeństwo zawsze było ważne i zawsze kładziono nań dużą uwagę. Jest to prawda. Nowe uwarunkowania wymagają jednak nie tylko utrzymania wagi tego aspektu, ale też nowego podejścia do zagadnień.
Bezpieczeństwo wymaga dziś zupełnie innych narzędzi i metod
Owo podejście będzie oznaczało trzecią falę rewolucji IT. Pierwsze dwie zostały wyznaczone przez wprowadzenie koncepcji Agile i DevOps. Zmieniły one sposób myślenia informatyków. Nadejście trzeciej fali rewolucji będzie jednak znacznie szybsze niż dwóch poprzednich. Ponadto jej wdrożenie będzie musiało być prawdziwe i skuteczne, a nie tylko deklaratywne. Realność wdrożenia będzie bowiem weryfikowana nie tylko przez biznes czy konkurencję, ale też przez siły zainteresowane w zaatakowaniu konkretnych organizacji i wyrządzeniu szkód.
Dynamika zmian biznesowych i zmiany na arenie międzynarodowej spowodowały, że do wyzwań IT – polegających na szybkim i racjonalnym kosztowo budowaniu stabilnych operacyjnie usług wspierających biznes – dołączyła potrzeba maksymalizacji działań związanych z bezpieczeństwem.Można oczywiście powiedzieć, że przecież bezpieczeństwo zawsze było ważne i zawsze kładziono nań dużą uwagę. Jest to prawda. Nowe uwarunkowania wymagają jednak nie tylko utrzymania wagi tego aspektu, ale też nowego podejścia do zagadnień.
Zagadnienia bezpieczeństwa wymagają dziś zupełnie innych narzędzi i metod niż jeszcze kilka lat temu. Mnogość urządzeń, które podłączane są do sieci tworzą przestrzeń do ataku, jakiej do tej pory nie trzeba było uwzględniać i nią zarządzać. Internet of Things (IoT) to nie tylko potencjalna przestrzeń ataku, to także źródło informacji jakiej do tej pory nie można było pozyskać. Nie trzeba wielkiej wyobraźni, aby zrozumieć jaki potencjał informacyjny w przypadku jednej osoby ma np. kombinacja następujących źródeł informacji i pochodzących z nich danych:
- • informacja o miejscach przebywania (GPS telefonu oraz GPS auta);
- • charakterystyka sposobu jazdy, najczęstsze trasy i postoje (j.w.);
- • nagrane zachowania (kamera telefonu, telewizora, komputera);
- • dane z urządzeń, takich jak waga, lodówka;
- • smartwatch i dane o aktywności fizycznej.
Łatwo sobie wyobrazić, że mając dostęp do danych z tych urządzeń, można pozyskać wiedzę o osobie, którymi niekoniecznie chciałaby się ona z nami pogodzić.
IT musi się przeorganizować, aby skutecznie wspierać bezpieczeństwo
To oczywiście przypadek ataku na konkretnego użytkownika. Równie realny jest atak na przedsiębiorstwo – zarówno w sieci teleinformatycznej czy w sieci przemysłowej. Tutaj ryzyko pojawia się zarówno na poziomie przełamania zabezpieczeń infrastrukturalnych, ale także w kodzie czy też używanych przez dostawców bibliotekach oraz frameworkach. Badania pokazują, że system potrafi korzystać z kilku tysięcy komponentów, z których większość została stworzona jako np. open source. Daje to ogromną przestrzeń do realizacji skutecznych działań przestępczych.Jasne jest zatem, że zmienił się wektor ataku, jak i możliwe metody działania. Z tego powodu całe IT musi się przeorganizować tak, aby skutecznie wspierać bezpieczeństwo i chronić przedsiębiorstwa, dane i ludzi. Na szczęście nie jest to wojna z przewagą technologiczną – taką, jak np. boje Indian południowoamerykańskich z hiszpańską konkwistą – ale, aby donieść sukces konieczna jest zmiana formacji i sposobu walki.
W istniejącym modelu zespoły bezpieczeństwa funkcjonują niejako na boku pełniąc funkcję kontrolno-audytowo-edukacyjne.Tradycyjnie są postrzegane jako hamulcowi. Ta percepcja – często niesprawiedliwa – ma początek w kształcie i przebiegu procesów w dziale IT. W procesach tych bezpieczeństwo często ma szansę przedstawić potrzeby i racje dopiero w ostatniej fazie budowy usługi – wtedy, kiedy wszystkie zmiany są bardzo kosztowe. Nawet jeśli proces pozwala na wcześniejsze działanie, pracownicy działu bezpieczeństwa często nie mają odpowiedniej wiedzy, czasu i narzędzi, aby dokładnie zbadać zagadnienie i podjąć właściwą decyzję.
W istniejącym modelu zespoły bezpieczeństwa funkcjonują niejako na boku pełniąc funkcję kontrolno-audytowo-edukacyjne. Tradycyjnie są postrzegane jako hamulcowi, którzy często opóźniają bądź wręcz blokują wdrożenie wielu pomysłów. Ta percepcja, często niesprawiedliwa, ma początek w kształcie i przebiegu procesów w dziale IT. W procesach tych bezpieczeństwo często ma szansę przedstawić potrzeby i racje dopiero w ostatniej fazie budowy usługi – wtedy, kiedy wszystkie zmiany są bardzo kosztowe. Nawet jeśli proces pozwala na wcześniejsze działanie, pracownicy działu bezpieczeństwa często nie mają odpowiedniej wiedzy, czasu i narzędzi, aby dokładnie zbadać zagadnienie i podjąć właściwą decyzję. W dużej mierze przyczynia się do tego też brak zasobów. W typowej dużej organizacji IT proporcje między Dev, Ops a Sec kształtują się na poziomie 100:10:1. To pokazuje zaś, że w obliczu rosnącej ilości projektów i rosnącej presji czasów nie jest możliwe skuteczne zapewnienie bezpieczeństwa metodami używanymi dotychczas.
Z pomocą przychodzi doświadczenie jakie dał ruch agile, a potem metodyka DevOps. W obu przypadkach kluczem do sukcesu są krótkie pętle zwrotne, wyznaczane przez ciągłą integrację, automatyzację testów oraz delivery – rozumiane jako kompilacja i utworzenie środowiska. Dodatkowymi, istotnymi elementami tych metod jest symulacja – stawianie hipotez i ich praktyczna, szybka weryfikacja. Ma to na celu z jednej strony ciągłą naukę i weryfikacje możliwych scenariuszy działania zanim staną się one zbyt kosztownym błędem. Z drugiej strony zbudowanie czegoś na kształt „pamięci mięśniowej”, pozwalającej na podejmowanie przez IT działań w sposób automatyczny, w oparciu o wielokrotnie ćwiczone i weryfikowane scenariusze postępowania.
Continuous Security Loop: ciągła integracja aspektów bezpieczeństwa
Tutaj dochodzimy do sedna. Trzecia fala rewolucji IT obejmie bezpieczeństwo, tak jak pierwsza (agile) objęła rozwój, a druga (DevOps) zespół operacyjny. Cechą tej zmiany będzie ciągła integracja aspektów bezpieczeństwa, ich regularne, automatyczne testowanie i ćwiczenie właściwych sposobów postępowania. Cykle tych działań będą zaczynały się od krótkich okresów – takich jak np. codzienne testy w trakcie integracji kodu czy bibliotek. Takie testy pozwolą na proaktywne adresowanie kwestii bezpieczeństwa już we wczesnej fazie życia oprogramowania. Podobnie automatycznemu testowaniu musi być poddawane powstające – na podstawie definicji – środowisko produkcyjne i nieprodukcyjne. Osobnym elementem jest poddawanie tychże środowisk losowemu, ale kontrolowalnemu zaburzeniu aspektów bezpieczeństwa celem wykrycia niedociągnięć w zabezpieczeniach. Podobne działania w zakresie zapewnienia odporności operacyjnej są realizowane w największych firmach na świecie.
Trzecia fala rewolucji IT obejmie bezpieczeństwo, tak jak pierwsza (agile) objęła rozwój, a druga (DevOps) zespół operacyjny. Cechą tej zmiany będzie ciągła integracja aspektów bezpieczeństwa, ich regularne, automatyczne testowanie i ćwiczenie właściwych sposobów postępowania.Cykle tych działań będą zaczynały się od krótkich okresów – takich jak np. codzienne testy w trakcie integracji kodu czy bibliotek. Takie testy pozwolą na proaktywne adresowanie kwestii bezpieczeństwa już we wczesnej fazie życia oprogramowania.
Nie ma wątpliwości, że kontrolowane symulacje bezpieczeństwa w środowisku produkcyjnym – połączone z szybką pętlą sprzężenia zwrotnego – będą skuteczną metodą zarządzania ryzykiem i stworzenia organizacji przygotowanej do zamierzenia się z rosnącym zagrożeniem ze strony cyberprzestępców.
Roboczo takie podejście możemy nazwać Continuous Security Loop. Jego szczegóły będą się zmieniały, jedno jest jednak pewne – bezpieczeństwo musi stać się odpowiedzialnością rozwoju i utrzymania. Jednocześnie jednak nie może ono spowalniać przyspieszającej machiny jaką jest IT. To zaś oznacza konieczność ścisłej integracji bezpieczeństwa i wdrożenia mechanizmów uzyskiwana regularnej informacji i korekcji podejmowanych działań. Doświadczenie pokazuje, że skutecznie okazały się tutaj mechanizmy szybkiej pętli sprzężenia zwrotnego wprowadzające zwinność do organizacji, jednocześnie pozwalające na zachowanie odpowiedniej jakości.Przywitajmy zatem Trzecia Falę Zwinnej Rewolucji.
Szymon Kowalczyk, dyrektor wykonawczy ds. IT w Tauron Polska Energia
Opinie innych członków CIONET Polska w specjalnym wydaniu magazynu ITwiz
Podzieliliśmy je na 6 głównych działów: kreowanie wartości i przychodów; Customer Experience; automatyzacja; cyberbezpieczeństwo; Business Leadership i Talent Management. Doświadczenia swoich organizacji z tym związane opisało 17 liderów cyfryzacji reprezentują: PKO BP; Miejskie Przedsiębiorstwo Wodociągów i Kanalizacji we Wrocławiu; BEST SA; AmRest Holding SE; Liberty Global (właściciela UPC Polska); Zarząd Morskich Portów Szczecin i Świnoujście; Nowa Itaka; Rossman; Grupa Kęty; Optima; Nordea; Idea Bank; Grupa Onet; Moneygram; T-Mobile Polska i Tauron Polska Energia.
Ups! Nie mogliśmy znaleźć twojego formularza.
