Idag använder alla större verksamheter DevOps-modellen för att snabbt utveckla och driftsätta applikationer. Trots att det är 25 år sedan som säkerheten började inkluderades i detta arbete och konceptet DevSecOps skapades har verksamheter inte fått med säkerheten i den praktiska tillämpningen av arbetssättet. Detta är en fråga som borde flyttas upp på utvecklarteamens och ledningens agenda.

Säkerhetsfrågorna blir allt mer centrala för företagen, och därmed borde även DevSecOps vara något de inte klarar sig utan. Vår egen nyligen genomförda undersökning med IT-beslutsfattare visar dock att en klar majoritet (86 %) upplever utmaningar i implementeringen av just säkerhet. Över hälften (51 %) säger till och med att de inte riktigt förstår hur säkerhet passar in i utvecklingsstrategin, vilket pekar på att IT-team behöver bättre utbildning och stöd för att kunna utarbeta mer effektiva metoder.

DevSecOps innebär att låta säkerhetsfunktionerna ingå i hela applikationens livscykel, istället för att skapas och integreras i efterhand. Utöver att strategin väsentligt minskar risken för intrång leder den till lägre kostnader, snabbare utvecklingsprocess och mer effektiv regelefterlevnad.

Att få DevSecOps att fungera är en ledningsfråga, och ansvaret att införliva tänket i den strategiska planen vilar på CIO:ns axlar. I detta arbete är det viktigt att ta hänsyn till flera aspekter:

1. Klargör roller, ansvarsområden och processer – Att etablera ägarskap, roller och processer är hygienfaktorer. De verksamheter som ligger i framkant i fråga om att implementera DevSecOps har fokuserat på att upprätta en tydlig uppsättning policyer och procedurer (66 %), samt att definiera personalens roller och ansvarsområden (62 %) – enligt vår undersökning.
2. Ta ett helhetsgrepp och skapa samarbete mellan avdelningar – Förändringen måste komma uppifrån. Ändå lägger många ledningsgrupper inte tillräckligt stor vikt vid att investera i de nyckelområden som driver DevSecOps framgång. Detta inkluderar att ha ett helhetsperspektiv på DevSecOps som engagerar många delar av organisationen. Att få igång kommunikationen mellan olika avdelningar är en förutsättning för ett framgångsrikt samarbete. Kommunikation mellan olika funktioner är något som inte kan underskattas för att få DevSecOps att fungera.
3. Tekniken är viktig, men kultur kan vara viktigare – Molnbaserad utveckling och AI är exempel på tekniker som har börjat påverka DevSecOps, men att bara fokusera på tekniken är inte tillräckligt. Ledare måste vara noga med att balansera modernisering av teknik med processer och företagskultur.
4. Utbilda medarbetarna – För att skapa verklig förändring mot DevSecOps krävs investeringar i kontinuerligt lärande för utvecklare och ingenjörer, samt förbättrad kommunikation mellan utvecklare, säkerhet och drift. Det handlar bland annat om att i grunden förstå syftet med arbetssättet. Bland svenska beslutsfattare känner sig hälften inte helt insatta i vad nyttan med DevSecOps är.
5. Fokusera på säkerhet och automatisering – Det som utmärker ledarna inom DevSecOps är att de fokuserar på konkreta resultat inom säkerhet. Många anser sig ha en effektiv integration av feedback i mjukvaruutvecklingsprocessen (47%) och god förmåga att skydda sig mot säkerhetsrisker (37 %). Ungefär 41 % har dessutom automatiserat återkommande säkerhetsärenden. Molnsäkerhet är mycket viktigt, särskilt för att på ett lämpligt sätt förebygga överbelastningar. Detta är särskilt kritiskt vid användning av containers/Kubernetes.

Även om införandet av en effektiv DevSecOps-kultur inte kommer att ske över en natt, måste CIO:er ha en dialog med sina team och andra ledare i organisationen om var de befinner sig på sin resa. Detta krävs för att det ska gå att forma en process för hur utvecklingen ska gå till, och där säkerheten får en naturlig plats.

Niklas Enge, Nordenchef på Progress

Fakta om undersökningen i artikeln: Över 600 beslutsfattare inom IT, säkerhet och utveckling från elva länder som jobbar på företag med 500+ anställda tillfrågades om DevSecOps-konceptet och deras erfarenheter av att använda det inom sina verksamheter. Ett femtiotal av beslutsfattarna var från Sverige, och de vanligaste titlarna var IT-chef, CIO, utvecklingschef och CISO. Resultaten i artikeln är de svenska resultaten. Undersökningen beställdes av Progress.