Una ricerca di VMware riporta alla ribalta il tema della DevSecOps: troppi percepiscono ancora la sicurezza come una barriera all'innovazione.
Autore: Redazione SecurityOpenLab
Le contrapposizioni fra il team di sviluppo e quello IT, la prioritizzazione dei tempi di realizzazione o della sicurezza del codice, più in generale la percezione del ruolo della cyber security, sono al centro della ricerca Bridging the Developer and Security Divide commissionata da VMware a Forrester Consulting. Il tema è quello dello sviluppo sicuro, che è salito alla ribalta con l'attacco a Solar Winds e che, nonostante gli allarmi da parte della comunità di security, è ancora lungi dall'essere risolto.
Il primo eclatante attacco alla supply chain di una software house ha messo sotto agli occhi di tutti il dato di fatto, da tempo latente, che lo sviluppo di codice tiene poco in considerazione la sicurezza. Questa consapevolezza però non risolve il problema, perché dietro a un eventuale cambio di strategia ci sono le dinamiche produttive, la cultura aziendale, i cortocircuiti di comunicazione fra differenti reparti.
A dimostrarlo è proprio la ricerca di VMware, che dopo avere intervistato 1.475 leader IT e della sicurezza, ha dovuto concludere che nelle aziende la sicurezza è ancora percepita come una barriera. Degli intervistati, il 61% dei team IT e il 52% degli sviluppatori reputa che le politiche di sicurezza stiano soffocando l’innovazione. Una posizione che probabilmente vede la sua genesi nella mancanza di condivisione delle politiche stesse.
Scorrendo la ricerca si apprende infatti che solo il 22% degli sviluppatori dichiara di capire quali policy di sicurezza l’azienda si aspetta che rispetti. Il 27% degli intervistati lamenta di non essere coinvolto nelle decisioni sulle policy di sicurezza, nonostante molte abbiano un forte impatto sul loro ruolo. È questa esclusione a non far comprendere i motivi che hanno spinto a prendere certe decisioni.
Sono in molti ormai a ritenere che la sicurezza sia una responsabilità condivisa. È quello che emerge anche dalla ricerca di VMware: le aziende in cui i team di sicurezza e sviluppo hanno un rapporto positivo possono accelerare il ciclo di vita dello sviluppo del software.
La divisione rimane tuttavia sul tema centrale: l'importanza che differenti team assegnano a sicurezza, efficienza operativa e miglioramento dell'esperienza utente. Una divisione testimoniata anche da quanto dichiarato dai responsabili della sicurezza, che denunciano un aumento dei silos e una diminuzione della collaborazione tra i team, con il conseguente incremento del rischio di violazioni della sicurezza.
Per questi motivi detto Rick McElroy, principal cybersecurity strategist, VMware commenta che "la sicurezza ha bisogno di un cambiamento di percezione. Piuttosto che essere vista come qualcosa a cui si ricorre solo per risolvere le violazioni o che intralcia l'innovazione, dovrebbe essere incorporata nei processi, nelle persone e nelle tecnologie. La sicurezza deve essere uno sport di squadra che lavora insieme all'IT e agli sviluppatori per garantire la protezione attraverso i cloud, le app e tutte le infrastrutture digitali".