С ростом киберугроз критически важно использовать проактивный подход к внедрению мер безопасности при переходе на такие фреймворки, как Scaled Agile (SAFe). В этой статье Мэтт Шарп, ведущий специалист по Agile-практике, делится своими стратегиями создания безопасной и устойчивой Agile-среды в вашей организации.

Информационная безопасность — горячая тема в настоящее время, поскольку крупные инциденты ИБ становятся все более частыми, сложными и серьезными, влияя как на крупные, так и на мелкие организации. Последствия таких инцидентов могут варьироваться от вызывающих неудобства простоев до отказа критически важных сервисов и утечек данных, что часто приводит к крупным публичным скандалам, финансовым потерям и в некоторых случаях судебным разбирательствам, вплоть до уголовной ответственности на уровне совета директоров.

Поскольку организации начинают использовать новые методы работы для повышения эффективности и адаптивности, включая внедрение гибких фреймворков, таких как Scaled Agile Framework (SAFe), крайне важно в рамках этого перехода подготовить и внедрить надежные меры ИБ. Киберугрозы развиваются, а гибкая среда содержит уникальные задачи, решение которых требует проактивных стратегий.

Вот несколько ключевых соображений, которые помогут вашей организации сделать ИБ приоритетом в ходе масштабируемой трансформации в гибкие подходы.

10 советов по интеграции подходов под обеспечению информационной безопасности в SAFe

1. Сделайте информационную безопасность ключевым компонентом

С самого начала сделайте ИБ составной частью внедрения SAFe. Безопасность не может быть второстепенной деталью, а должна являться основным аспектом вашей корпоративной культуры. Внедряя ИБ в agile-фреймворк, вы создаете основу, где каждый член команды осознает важность обеспечения ИБ и несет ответственность за поддержание стандартов ИБ.

2. Определите security-чемпионов

Назначьте security-чемпионов в каждом Agile Release Train (ART) или команде. В обязанности этих сотрудников должно входить продвижение практик обеспечения ИБ, подготовка рекомендаций и привлечение внимания к потенциальным рискам информационной безопасности. Security-чемпионы служат связующим мостиком между экспертами по безопасности (которые часто существуют в рамках отдельных функциональных подразделений и отделены от ART) и agile-командами, гарантируя, что ИБ является постоянным фокусом и приоритетом.

3. Внедряйте методы безопасной разработки

Внедрение методов безопасной разработки позволяет предотвратить появление уязвимостей в вашем программном обеспечение и системах. Продвигайте такие методы, как проверка достоверности вводимых данных (input validation), кодирование выходных данных (output encoding) и надлежащая обработка конфиденциальных данных (handling of sensitive data) — убедитесь, что они добавлены в критерии приемки для каждого эпика и фичи (скорее, в DoD для каждого элемента бэклога — прим. переводчика). Обеспечение постоянного обучения и ресурсов для ваших команд гарантирует, что безопасная разработка станет стандартной практикой.

4. Проводите моделирование угроз

Внедрите моделирование угроз в ваш процесс разработки. Выявляя потенциальные угрозы безопасности и возможные уязвимости на ранних этапах, команды могут разрабатывать соответствующие контрмеры и обеспечить их добавление в бэклог ART в качестве вспомогательных фич. Моделирование угроз помогает определить поверхность атаки и подготовиться к потенциальным вызовам безопасности до того, как они станут проблемами.

5. Проводите регулярные оценки безопасности

Регулярные оценки безопасности жизненно необходимы для выявления слабых мест и уязвимостей в ваших системах. Такие действия, как тестирование на проникновение (penetration testing), поиск уязвимостей в коде (vulnerability scanning) и обзоры кода, должны выполняться регулярно — в идеале как часть каждого интервала планирования¹ (PI). Подобные оценки помогают обеспечивать устойчивую позицию при определения приоритетов и оперативно решать проблемы.

6. Внедряйте DevSecOps подходы

Безопасность должна быть встроена в практики DevOps для обеспечения непрерывной защиты на протяжении всего жизненного цикла разработки ПО. Внедряйте такие практики, как непрерывная интеграция (continuous integration), непрерывная поставка (continuous delivery) и автоматизированное тестирование безопасности². Такой подход гарантирует, что проверки безопасности являются частью конвейера разработки, выявляя и обнаруживая уязвимости на ранних этапах.

7. Создайте безопасную инфраструктуру

Ваша инфраструктура должна быть безопасной чтобы позволять использование гибких подходов. Следуйте лучшим практикам сетевой безопасности, контроля доступа, шифрования и мониторинга. Регулярные обновления и исправления программного обеспечения и систем необходимы для защиты от известных уязвимостей и новых угроз.

8. Обеспечьте обучение и осведомленность сотрудников в вопросах информационной безопасности

Совместное исследование Стэнфордского университета и компании по безопасности Tessian показало, что почти 90% инцидентов ИБ вызваны человеческим фактором. Обучение всех сотрудников передовым методам безопасности имеет решающее значение в минимизации таких рисков. Темы обучения должны включать требования по безопасности паролей, осведомленность о фишинге и защиту данных. Культура осведомленности о безопасности и ответственности гарантирует, что каждый сотрудник в организации понимает свою роль в обеспечении безопасности.

9. Разработайте планы реагирования на инциденты и восстановления деятельности после сбоев

Подготовьтесь к возникновению инцидентов безопасности путем создания четко определенных планов реагирования и восстановления. Регулярно проверяйте эти планы, чтобы убедиться в их эффективности. Определите роли и обязанности, протоколы связи и процедуры эскалации для быстрого и эффективного реагирования на инциденты. Рассмотрите возможность выполнения этих проверок в рамках итерации инноваций и планирования (IP iteration) в конце каждого PI и включите в них как можно больше сотрудников вашей организации.

10. Будьте в курсе событий

Состояние дел в сфере ИБ постоянно меняется. Будьте в курсе новейших угроз, уязвимостей и лучших практик ИБ. Регулярно пересматривайте и обновляйте политики безопасности, процедуры и средства контроля для минимизации новых рисков и обеспечения постоянной защиты. Информационная безопасность должна быть обязанностью каждого в организации: от руководителей высшего звена до специалистов по бережливому управлению портфелем (LPM) и далее до специалистов в ваших ART и командах.

Многие из этих рекомендаций соответствуют гибкому принципу «предотвращение важнее обнаружения», поскольку они способствуют раннему выявлению негативных моментов и не дают им стать реальными проблемами в дальнейшем. Этот подход соответствует идее «сдвига качества влево» (shifting quality left), т. е. смещения фокуса на обеспечение качества на более ранних этапах процесса разработки программного обеспечения, что подразумевает внедрение подходов по обеспечению качества, таких как практики безопасной разработки, моделирование угроз и обзоры кода. на более ранних этапах жизненного цикла. Таким образом, можно выявить и устранить потенциальные уязвимости, дефекты и проблемы, что снижает вероятность того, что они вызовут проблемы или и приведут к атакам на более поздних этапах производства.

Практические выводы

• Встройте информационную безопасность в agile-планирования и исполнение. Это гарантирует, что вопросы безопасности будут решаться непрерывно.
• Назначьте security-чемпионов и наделите их полномочиями. Эта роль имеет решающее значение для продвижения мышления, ориентированного на безопасность, в agile-командах.
• Регулярно обучайте свои команды методам безопасной разработки и обеспечивайте актуальность их знаний. Непрерывное обучение помогает поддерживать высокие стандарты безопасности.
• Сделайте моделирование угроз стандартной практикой в ​​вашем процессе разработки. Раннее выявление угроз может сэкономить вам значительное время и ресурсы.
• Проводите регулярные оценки безопасности. Частые оценки помогают выявлять потенциальные уязвимости и минимизировать риски их использования.
• Интегрируйте безопасность в ваш конвейер CI. Автоматизированные тесты безопасности помогут обнаружить и устранить проблемы до того, как они попадут в среду ПЭ.
• Обеспечьте безопасность и актуальность вашей инфраструктуры. Регулярное обслуживание и обновления являются ключом к предотвращению нарушений безопасности.
• Развивайте культуру осведомленности об ИБ. Непрерывное обучение и программы повышения осведомленности помогают в создании отказоустойчивой организации.
• Разработайте и регулярно проверяйте планы реагирования на инциденты. Готовность имеет решающее значение для минимизации последствий инцидентов безопасности.
• Работайте на опережение, будучи в курсе новых угроз. Регулярно обновляйте свои знания и методы для противодействия возникающим рискам.
• Сдвигайте качества влево. Это помогает добиться быстрой обратной связи, сократить количество переделок и улучшить общее качество продукции.

Сосредоточившись на этих аспектах информационной безопасности, специалисты, задействованные в проектах, могут гарантировать, что их организации не только получат выгоду от внедрения гибких методологий, но и сохранят высокий уровень безопасности компании. Внедрение этих практик поможет защитить ваши системы и данные, способствуя созданию безопасной и устойчивой гибкой среды.

1. На самом деле такие активности, как поиск уязвимостей в коде и код-ревью должны проводиться при каждом изменении среды промышленной эксплуатации, то-есть чаще, чем один раз в PI. ↩︎
2. В реальности практик DevSecOps подхода больше. Можно перечислить следующие: Infrastructure as Code (IaC) security для обеспечения безопасности инфраструктуры, Repository hardening для защиты репозиториев исходного кода от выполнения вредоносных действий, Software Composition Analysis (SCA) для защиты от внедрения уязвимостей через компоненты сторонних разработчиков, Secrets management для безопасного хранения конфиденциальных данных приложений, API security для предотвращения атак через API систем и защиты данных, хранящихся в этих системах, Runtime security позволяющая обнаруживать атаки в процессе исполнения и предотвращать их, контроль целостности образов позволяющий гарантировать неизменность контейнеров и образов виртуальных машин, запускающихся в среде ПЭ. ↩︎