Контакты
Подписка 2025

Разногласия между разработчиками и службами безопасности растут

VMWare, 01/10/21

Разработчики считают, что политики безопасности сдерживают внедрение инноваций, а система безопасности по-прежнему воспринимается в организациях как барьер, согласно исследованию взаимоотношений между IT-подразделениями, службами безопасности и командами разработчиков в процессе перехода организаций на модель безопасности Zero Trust [1]. 

Forrester Consulting опросила 1475 руководителей IT-отделов и служб безопасности и выяснила, что только каждый пятый (22%) понимает, какие политики безопасности он должен соблюдать. Настораживает тот факт, что более четверти (27%) опрошенных разработчиков вообще не участвуют в принятии решений по политике безопасности, несмотря на то, что многие из них существенно влияют на их работу. Организации, в которых служба безопасности и команда разработчиков находятся в хороших взаимоотношениях, способны ускорить цикл разработки программного решения на пять рабочих дней по сравнению с теми организациями, в которых какое-либо взаимодействие отсутствует, показывая, что это ставит под угрозу скорость вывода на рынок и конкурентное преимущество продукта.

73% респондентов согласились с тем, что их высшее руководство уделяет больше внимания укреплению взаимоотношений между командой разработчиков и службой безопасности, чем это было два года назад, но эти отношения все ещё остаются натянутыми. Более того, каждый третий (37%) руководитель сообщил, что рабочие команды в их компаниях неэффективно взаимодействуют по рабочим вопросам или не предпринимают никаких шагов для укрепления взаимоотношений между службой безопасности и командой разработчиков. Отсутствие ответственных за конкретные задачи, низкий уровень коммуникации между командами и расстановку разных приоритетов негативно влияют на совместную работу.

«Это исследование показывает, что необходимо изменить восприятие системы безопасности в компании. Вместо того, чтобы воспринимать службу безопасности как команду, которая активно работает только в целях устранения нарушений и утечек данных, или как тех, кто «препятствует инновациям», необходимо внедрить безопасность в рабочие процессы сотрудников и решения, которые они производят. Безопасность должна стать командным видом спорта, в котором ИБ-служба работает совместно с IT-подразделением и разработчиками, чтобы обеспечить защиту облачных сред, приложений и всей цифровой инфраструктуры. Мы должны сформировать культуру, в рамках которой все команды придерживаются общих интересов, достигают общие цели или ключевые показатели, а также говорят на одном языке. Когда ИТ-подразделение, ИБ-служба и группа разработчиков участвуют в принятии решений, проектировании и реализации, это приносит большую пользу бизнесу, и нам всегда надо об этом помнить», — отметил Рик Макэлрой (Rick McElroy), главный специалист по вопросам стратегии кибербезопасности компании VMware.

Общие командные приоритеты и постоянное взаимодействие станут залогом движения вперед, и в этом направлении прогресс уже достигнут. Более половины респондентов (53%) ожидают, что ИБ-службы и команды разработчиков будут объединены в течение ближайших трех лет. При этом 42% опрошенных ожидают, что безопасность за тот же период станет неотъемлемой частью процесса разработки. Все больше специалистов признают, что согласованность между командами позволяет компаниям сократить разрозненность команд (71%), разработать более безопасные приложения (70%) и повысить гибкость при внедрении новых рабочих процессов и технологий (66%).

  1. Исследование Bridging the Developer and Security Divide проведено аналитическим агентством Forrester Consulting по заказу VMware. С полной версией исследования, содержащим рекомендации по устранению разногласий между командой разработчиков и службой безопасности, можно ознакомиться по ссылке.
Темы:ИсследованиеБезопасная разработкаZero Trust

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • О безопасности заимствованных компонентов Open Source
    Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения, ведущий научный сотрудник ФГБУН “ИСП РАН”
    Open Source стал неотъемлемой частью современного мира. Сегодня уже нет необходимости объяснять, что это такое, – с этим явлением все давно свыклись и приняли его как данность. Однако возникает другой вопрос: как эффективно и зрело работать с Open Source?
  • Автоматизация и экономика для обеспечения жизненного цикла безопасного ПО
    Борис Позин, технический директор ЗАО "ЕС-лизинг", д.т.н., профессор базовой кафедры “Информационно-аналитические системы” МИЭМ НИУ ВШЭ, главный научный сотрудник ИСП РАН
    Проблема обнаружения уязвимостей и недекларированных возможностей специалистами в жизненном цикле ПО автоматизированных систем становится все более актуальной в последние годы, особенно в связи с активизацией работ по импортозамещению, использованием свободного ПО, развитием масштабных проектов систем корпоративного уровня в различных отраслях народного хозяйства.
  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
  • Управление уязвимостями при разработке ОС Astra Linux
    Владимир Тележников, директор департамента научных исследований “Группы Астра”
    Управление уязвимостями играет ключевую роль в процессе разработки и эксплуатации любой операционной системы.
  • Protestware: как защитить код?
    Владимир Исабеков, ведущий инженер по информационной безопасности Swordfish Security
    Первым и важным шагом к снижению риска от вредоносного Protestware является стандартный инструментарий безопасной разработки.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...