HeadHunter: Взаимодействие между командами разработки и кибербезопасности может улучшить качество продукта и уменьшить количество ошибок

Сергей Рысин, главный специалист по технической защите информации, и Станислав Громов, руководитель DevSecOps, HeadHunter, в рамках CISO-FORUM, рассказали порталу Cyber Media о том, как правильно выстроить взаимодействие ИБ-отдела с отделом разработки – внутренним или внешней командой.

Cyber Media: На каком этапе команда кибербезопасности должна подключаться к проекту разработки?

Сергей Рысин: Команда кибербезопасности должна подключаться к проекту разработки с самого начала, на этапе планирования. Идеальный вариант – если бы команда кибербезопасности участвовала в создании требований к проекту, чтобы убедиться, что функциональные и нефункциональные требования безопасности были учтены в концепции продукта.

В процессе создания продукта команда кибербезопасности должна работать параллельно с командой разработки, включая ревью кода, анализ уязвимостей и процессы тестирования. Кроме того, команда кибербезопасности должна участвовать в оценке рисков и подготовке плановых мер по уменьшению рисков безопасности.

Важно отметить, что команда кибербезопасности не должна быть отделом, который работает отдельно от команды разработки. Лучший подход – это интеграция команды кибербезопасности в процесс разработки, что помогает выявлять уязвимости на ранней стадии и избежать дополнительных затрат на исправление ошибок на последующих этапах.

Такая тесная интеграция позволит создать безопасный и надежный продукт и избежать задержек в выпуске продукта.

Cyber Media: Как повысить эффективность команды кибербезопасности с командой разработки?

Станислав Громов: Существует несколько способов повышения эффективности команды кибербезопасности с командой разработки:

1. Установление эффективной коммуникации: важно, чтобы команды кибербезопасности и разработки поддерживали эффективную коммуникацию, обменивались информацией и общались на равных. Это поможет избежать недопонимания и улучшит взаимодействие.

2. Обучение сотрудников: команда кибербезопасности и команда разработки должны быть обучены основным принципам безопасности информации. Это поможет повысить понимание рисков безопасности и улучшить качество продукта.

3. Интеграция команд: лучший подход – это интеграция команд кибербезопасности и разработки, что позволит сотрудникам работать над проектом вместе и синхронизировать свои действия. Это поможет избежать рассинхронизации между командами и ускорит процесс разработки.

4. Регулярное обновление требований безопасности: команда кибербезопасности должна регулярно обновлять требования безопасности в соответствии с последними тенденциями и угрозами. Это поможет обеспечить актуальность требований и улучшит защиту продукта.

5. Реализация тестирования безопасности: команда кибербезопасности должна реализовать тестирование безопасности, чтобы выявить уязвимости и ошибки в продукте. Это поможет повысить качество продукта и обеспечить защиту от внешних угроз.

В целом, для повышения эффективности команды кибербезопасности с командой разработки необходимо установить эффективную коммуникацию, обучить сотрудников, интегрировать команды, обновлять требования безопасности и реализовать тестирование безопасности.

Cyber Media: На Ваш взгляд, чем чреват «рассинхрон» между отделом разработки и отделом безопасности в компании?

Сергей Рысин: Рассинхронизация между отделом разработки и отделом безопасности в компании может иметь ряд негативных последствий:

• уязвимости в продукте: если отдел разработки и отдел безопасности не сотрудничают эффективно, это может привести к тому, что уязвимости в продукте не будут обнаружены и исправлены до выпуска в продакшн. Это может повлечь за собой угрозы для безопасности пользователей и нарушения конфиденциальности данных;

• затраты на исправление ошибок: если уязвимости в продукте обнаруживаются после выпуска в продакшн, это может привести к затратам на исправление ошибок, включая ресурсы, время и деньги. Кроме того, это может привести к отрицательному восприятию продукта и уменьшению доверия пользователей;

• задержки в выпуске продукта: если отдел безопасности обнаруживает проблемы в продукте, это может привести к тому, что отдел разработки должен внести изменения в продукт, что может занять время и привести к задержкам в выпуске;

• непонимание и конфликты: они могут отрицательно сказаться на работе и продуктивности сотрудников, а также на качестве продукта.

В целом, эффективное сотрудничество между отделом разработки и отделом безопасности крайне важно для обеспечения безопасности продукта и удовлетворения потребностей пользователей.

Cyber Media: Распространены случаи, когда разработчики воспринимают безопасников как людей, которые «приходят в рабочий код и заваливают их тикетами». На Ваш взгляд, как следует бороться с этим стереотипом и нужно ли это вообще?

Станислав Громов: По моему мнению важно понимать, что команда кибербезопасности не является препятствием для разработки, а наоборот – она защищает проект и его пользователей от уязвимостей и кибератак. Кроме того, взаимодействие между командами разработки и кибербезопасности может улучшить качество продукта и уменьшить количество ошибок.

Для борьбы со стереотипом можно предложить несколько подходов:

1. Обучение команды разработки основам безопасности информации. Если разработчики понимают, какие проблемы могут возникнуть из-за отсутствия соответствующих мер безопасности, они могут начать относиться к команде кибербезопасности более уважительно.

2. Интеграция команд. Если команды разработки и кибербезопасности работают вместе на протяжении всего процесса разработки, это может помочь разработчикам лучше понимать, какие меры безопасности необходимы, а также уменьшить количество ошибок, требующих исправления.

3. Объяснение значимости работы команды кибербезопасности. Необходимо объяснить разработчикам, что взаимодействие команды кибербезопасности является неотъемлемой частью проекта и что отсутствие соответствующих мер безопасности может привести к серьезным последствиям для пользователей и компании.

В целом, борьба со стереотипом, что команда кибербезопасности «приходит в рабочий код и заваливает разработчиков тикетами», необходима, так как это может привести к негативным последствиям для проекта. Обучение команды разработки основам безопасности, интеграция команд и объяснение значимости работы команды кибербезопасности могут помочь изменить отношение к команде кибербезопасности и создать более гармоничное взаимодействие между командами.

Cyber Media: Компании часто пользуются услугами аутсорс-команд, чтобы «разгрузить» собственный IT-отдел, например, от работы над второстепенными проектами. Как в таком случае эффективно выстроить взаимодействие с ИБ-отделом?

Сергей Рысин: Если компания использует услуги аутсорс-команды для работы над второстепенными проектами, важно, чтобы взаимодействие с командой ИБ-отдела было установлено с самого начала проекта.

Перед началом работы с аутсорс-командой ИБ-отдел должен предоставить им все необходимые требования к безопасности, чтобы они могли учитывать их при разработке. Компания также должна обеспечить команду ИБ-отдела всеми необходимыми сведениями о проекте, включая техническую документацию, данные и т.д.

Кроме того, необходимо убедиться, что команда аутсорс-разработчиков имеет достаточные знания и опыт в области безопасности информации. Для этого можно провести аудит их безопасности и проверить, имеют ли они сертификаты и соответствующий опыт работы в данной области.

Важно установить протоколы и процедуры взаимодействия между командами. В частности, определить, каким образом будут передаваться данные и информация между командами, а также какие форматы и стандарты будут использоваться.

Команда ИБ-отдела должна также регулярно проверять безопасность разрабатываемых проектов аутсорс-командой и контролировать соответствие их работ требованиям безопасности.

В целом, для эффективного взаимодействия с ИБ-отделом при использовании услуг аутсорс-команды необходимо обеспечить передачу всех необходимых требований и сведений, проверить навыки и опыт команды разработчиков в области безопасности, установить протоколы и процедуры взаимодействия между командами и обеспечивать регулярную проверку безопасности проектов аутсорс-командой.