sikkerhet2
>

God sikkerhet trenger ikke være en begrensning

Redaksjonen 
14. juni 2019

IT-sikkerhet er noe alle små og store virksomheter og instanser prioriterer høyt om dagen. Men hvilke tiltak bør prioriteres først? Hva bringer fremtiden? Og hvordan fungerer egentlig DevSecOps?

IT-bransjen er en bransje i stor endring, hvor utviklingen skjer veldig raskt. Dette fører blant annet til at vi får nye måter å jobbe på – fokuset på smidig utvikling er et eksempel på dette. Gjennom smidig utvikling fokuseres det på å fjerne flaskehalser og å legge til rette for mindre og hyppigere leveranser, istedenfor større leveranser over lengre tid. Fordi leveransene kommer hyppigere, skal det bli enklere å gjøre fortløpende forbedringer og oppdateringer. 

Smidig utvikling kan gjøres på mange måter, men den siste tiden har DevOps blitt veldig populært. Denne måten å jobbe på har ikke bare ført til at det nå bestilles og leveres hyppigere leveranser, men også at det tenkes helt nytt rundt infrastruktur. Ved å jobbe på denne måten er utvikleren ansvarlig for, og har direkte kontroll over, infrastrukturen applikasjonen er avhengig av.

Én av utfordringene med DevOps har vært at sikkerhet ofte har blitt sett på som en flaskehals. Fordi sikkerhet er så viktig, er det likevel avgjørende at sikkerhet blir en naturlig og automatisk del av denne måten å jobbe på. Det er også viktig at det tenkes på gjennom hele utviklings- og livsløpet til applikasjonen. Bransjen har derfor fått et nytt utrykk: DevSecOps – et smidig utviklingsløp med sikkerhet i fokus gjennom hele prosessen.

Ønsker du en grundig forklaring på hva DevSecOps er, hvilke muligheter det gir og hvordan du skal prioritere sikkerhet i et smidig utviklingsløp? Da bør du ta en titt på vårt frokostseminar om temaet.

devops
Slik ser et DevOps-kretsløp ut.

DevSecOps

Med DevSecOps er tanken at utviklerne selv skal ha ansvaret for infrastrukturen på lik linje som for applikasjonen de lager. Dette betyr at utviklerne er ansvarlig for sikkerheten av infrastrukturen, så vel som i sin egen kode. På denne måten får du også inn sikkerhet tidligere i prosessen. 

DevSecOps fører til sikrere løsninger og raskere leveranser, samt at sikkerhetsproblemer kan løses raskere. Gjennom DevSecOps blir infrastruktur og applikasjoner kontinuerlig testet for de vanligste sikkerhetsfeilene og avdekket raskere – ofte før applikasjoner produksjonssettes. Det handler om å gi utvikleren nødvendig kunnskap og verktøy, samt bygge kultur, slik at det skapes en bevisst tilnærming til sikkerhet.

Sikkerhet i Bouvet

I Bouvet har vi stor erfaring med sikkerhetsarbeid. Både med mer tradisjonelle måter å jobbe med sikkerhet på, samt nyere metoder som DevSecOps. Sikkerhetsfokuset står sentralt i alt vi gjør, uavhengig om det er et rent sikkerhetsprosjekt eller ikke.

Av tjenester kan vi blant annet bistå med skymigrering og sikkerhet rundt dette. Vi kan også bistå med å sette opp DevSecOps-pipelines, hvor vi sørger for at hvert av de ulike punktene i pipelinen tilsammen sikrer best mulig sikkerhet for kunden. Eksempler på dette kan være hvilken teknologi kunden bør ta i bruk, hva de bør være obs på, hva de kan forvente å få ut av tiltakene, samt hvordan de bør prioritere.

I tillegg til dette bistår vi selvfølgelig med vurdering og forbedring av sikkerheten i de aller fleste teknologiske løsninger og tjenester. Når du designer og implementerer en løsning, enten det er kodeprosjekt, prosessprosjekt eller et infrastrukturprosjekt, er det nemlig alltid et sikkerhetsaspekt som må håndteres. 

gdpr
GDPR har bidratt til større fokus på IT-sikkerhet.

Hvorfor er fokuset på sikkerhet så stort nå?

Sikkerhet har alltid vært viktig, men de siste årene har sikkerhetsfokuset på forretningsnivå økt betraktelig. Flere oppdager nå viktigheten av god sikkerhet, og konsekvensene av dårlig. Samtidig har det også kommet strenger personvernregler. Dette har hjulpet masse.

Det økte sikkerhetsfokuset har blant annet kommet som en konsekvens av økning i datakriminalitet. Dette har ført til at flere nå investerer i hjelp fra eksterne selskap, samtidig som den viktige jobben med å lære opp de ansatte i egen bedrift har blitt tatt mer på alvor. 

Utfordringen er at du ikke kan løse alle problemer samtidig. Noe av vår viktigste jobb er derfor å hjelpe kundene å prioritere hva som lønner seg forretningsmessig og økonomisk. Det viktigste for et selskap er å øke den generelle sikkerhetskompetansen, samt å få oversikt over hva som må fikses og hva som allerede funker. Dette skal helst gjøres gjennom en sårbarhetsanalyse. Videre er det viktig å sette opp prioriteringer, før du til slutt kan begynne eventuell implementering.

Husk også at oppdateringer er viktige. Utviklingen skjer fort, og ting fikses forløpende. En oppdatering kan være avgjørende for om du blir rammet av et angrep eller ikke.

Hva skjer fremover?

Med tanke på fremtiden vil det dessverre bli verre før det blir bedre. Det er nemlig flere som leter etter sikkerhetsfeil enn tidligere, noe som vil føre til at hyppigheten av vellykkede angrep blir større. Som en reaksjon til dette vil vi komme til å se en markant forbedring av den gamle IT-infrastrukturen som vi har blitt så avhengige av.

Det er ikke alltid like lett å vite hva som lønner seg å gjøre for å bedre sikkerheten, men det er viktig å innse at du ikke kan være 100% trygg. Du må forstå sikkerhetskonsekvensene av det du driver med, og deretter gjøre de nødvendige tiltakene for å sørge for at sikkerheten blir så god som mulig.