مقالات مرکز
افزايش مخاطرات در فضاي کسب‌ وکار، موضوع امنيت را در صدر اولويت هاي رهبران سازمان ها جاي داده است. در نتيجه، شمار روزافزوني از سازمان ها به استفاده از رويکرد DevSecOps روي آورده اند تا بتوانند با اين مخاطرات، مقابله کنند. DevSecOps بر اساس رويکرد مشهور DevOps بنا شده است؛ اما امنيت را نيز در چرخه توسعه و آزمايش، وارد مي کند و برنامه هاي کاربردي سريع تر، باکيفيت تر و امن تري را توليد مي کند.

انقلاب ديجيتال، کسب وکارها را وادار ساخته است تا شيوه عرضه محصولات و خدمات خود را تغيير دهند. تا پيش از اين، توسعه نرم افزار اغلب جزو وظايف بک آفيس قلمداد مي شد، در حالي که امروزه در خطوط مقدم کسب وکار قرار گرفته است و هر تأخير يا ايراد عملکردي در آن، بر کل کسب وکار تأثير مي گذارد و ممکن است ميزان درآمد سازمان يا سطح رضايت مشتريان را تحت تأثير قرار دهد. مسائل امنيتي نيز چالش هاي ديگري را پيش روي کسب وکارها قرار مي دهند. تنها در سال گذشته ميلادي از هر ده سازمان، هفت سازمان تحت تأثير حملات سايبري يا رخنه به داده ها قرار گرفته اند. اين افزايش مخاطرات، موضوع امنيت را در صدر فهرست اولويت هاي رهبران ارشد سازمان ها جاي داده است. در نتيجه، شمار روزافزوني از سازمان ها به استفاده از رويکرد DevSecOps روي آورده اند تا بتوانند با اين تغييرات مواجه شوند. DevSecOps بر اساس رويکرد مشهور DevOps بنا شده است و امنيت را نيز در چرخه توسعه و آزمايش وارد ميکند و برنامه هاي کاربردي سريع تر، باکيفيت تر و امن تري را توليد مي نمايد.
اين تحولات، نقش تيم هاي توسعه را به طور بنيادين تغيير مي دهند. آن روزها که وظيفه توسعه دهندگان تنها تضمين عملکرد مطلوب کدها بود و تيم امنيت مسئول تضمين امن بودن برنامه هاي کاربردي پس از پايان مرحله ساخت آنها به شمار مي رفت، سپري شده اند. امروزه تيم هاي امنيت، توسعه و عمليات بايد در تمام مراحل توسعه با يکديگر همکاري کنند تا برنامه هاي کاربردي با سرعت و امنيت بيشتري نسبت به گذشته توليد، آزمايش و مستقر شوند.

شکاف مهارت هاي امنيتي و تأثير آن بر کسب وکار
براي رقابت در اقتصادِ روبه رشد برنامه هاي کاربردي، سازمان ها در تلاشند تا بر سرعت توسعه نرم افزارهاي خود بيفزايند. بر اساس نتايج نظرسنجيِ Veracode و DevOps.com، حدود 40 درصد از سازمان ها اعلام کرده اند که يافتن کارکنان متخصص و جامع در حوزه DevOps که از دانش کافي در زمينه تست امنيتي برخوردار باشند، دشوارتر از يافتن ساير مهارت ها است. در زمينه عمليات IT نيز دو مهارت مهم که يافتن آنها در افراد بسيار دشوار است به مديريت آسيب پذيري و مهارت هاي محفظه بندي مربوط مي شود. اين شکاف مهارتي مي تواند بسياري از سازمانها را از دستيابي به اهداف خود در عرضه برنامه هاي کاربردي باز دارد. تنها بخش کوچکي از پاسخ دهندگان به اين نظرسنجي (در حدود يک دهم از آنها) به استفاده از رويه هاي DevOps در کل فرايند سازماني، از توسعه تا توليد، اشاره کرده اند. اکثر آنها از DevOps در تيم هاي محدود يا به صورت مجزا از کسب وکار استفاده نموده اند، در حالي که ديگر سازمان ها هنوز کار را شروع نکرده اند و بنا دارند مسير حرکت خود را به سوي DevOps در طول سال آينده آغاز کنند.
گرچه آموزش درون سازماني مي تواند سهم بزرگي در کاهش اين شکاف مهارتي داشته باشد، 70 درصد از توسعه دهندگان عنوان کردند که سازمان شان آموزش کافي را در زمينه امنيت برنامه هاي کاربردي به آنها ارائه نکرده است؛ حتي بسياري از متخصصان امنيتي نيز چنين نظري داشته اند. يکي از مهمترين موانع سازمان ها در مسير سرمايه گذاري آموزشي، هزينه هاي اين فرايند و تأثيرات آن بر منابع سازماني است. اکثر دوره هاي شناخته شده ي آموزش امنيت برنامه هاي کاربردي، نيازمند صرف هزينه هاي گزاف هستند و چند روز از زمان توسعه دهنده را اشغال مي کنند. البته روش هاي آموزشي ديگري نيز وجود دارند و لازم نيست آموزش کارمندان چنين متمرکز و يکباره باشد.
برنامه هاي آموزش مجازي يا خودآموز، شيوه هاي مؤثري براي کسب مهارت هاي مورد نيازِ اين مشاغل هستند. اين برنامه ها به اعضاي تيم اجازه مي دهند تا با سرعت مناسب خود حرکت کنند و فرايند آموزش را با زمان بندي کاري خود هماهنگ سازند. متأسفانه، تنها نيمي از پاسخ دهندگان به نظرسنجي گفته اند که سازمان شان تمام هزينه آموزش آنها را پرداخت مي کند. امروزه، سرمايه گذاري در آموزش ضمن کار مي تواند تضمين کند که سازمان، آمادگي بهتري براي مواجهه با تقاضاهاي آتي دارد. تکيه صرف روي مهارت هاي تحصيلي دانش آموختگان دانشگاهي، ممکن است سازمان را با شکست مواجه سازد. 

کمبودهاي آموزش عالي
توسعه دهندگان جديد يا دانش آموختگان حوزه IT، مهارتهاي مورد نياز براي موفقيت در محيط امروزي که تماماً مبتني بر برنامه هاي کاربردي است را ندارند. متأسفانه اين امر ناشي از نواقص موجود در سيستم هاي آموزش رسمي کنوني است. اکثر قريب به اتفاق پاسخ دهندگان به نظرسنجي جهاني مهارت هاي DevSecOps در سال 2017 اظهار داشتند که براي اخذ مدرک دانشگاهي خود الزامي به گذراندن هيچ دوره آموزشي خاصي که روي مسائل امنيتي تمرکز داشته باشد، نداشته اند. با توجه به اهميت روزافزون امنيت براي بقاي کسب وکارها، چنين چيزي بسيار تعجب آور است. بسياري از متخصصان در اين نظرسنجي عنوان کردند که برنامه هاي مرسوم آموزش علوم رايانه، با نيازهاي امنيتي سازمان هاي پرشتاب امروزي هماهنگ نشده اند. به طور معمول، تنها يک تا دو ساعت از کلاس هاي دانشگاهي به مقوله طراحي امن، يک تا دو ساعت به برنامه نويسي دفاعي، دو ساعت آموزش اختياري براي امنيت شبکه و يک ساعت نيز براي تهديدات و حملات اختصاص داده مي شود. به گفته يکي از اساتيد دانشگاهي: «به جاي اين که منتظر کسي باشيم تا کلاسي با موضوع امنيت برگزار کند، اين آموزش ها بايد از ابتدا در برنامه آموزشي جاي داده شوند».
اما ارتقاي کيفيت برنامه ها، تنها بر عهده دانشگاه ها و مراکز آموزشي نيست، بلکه صنعت هم بايد وارد عمل شود. برنامه هاي آموزشي کنوني فاقد آموزش هاي واقعي نظير کدنويسي ورودي و خروجي هستند (که بسياري از آسيب پذيري ها در آن نهفته است) و تأکيدي روي آموزش هاي امنيتي عملي که در حال حاضر حداقل زمان ممکن صرف آنها مي شود، ندارند. در نظرسنجي DevSecOps، نظرات 400 کارشناس IT در سراسر جهان گردآوري شده است. 64 درصد از اين کارشناسان اظهار داشته اند که ارزشمندترين مهارت هاي خود را در کار آموخته اند، در حالي که تنها سه درصد از آنها مهارت هاي ويژه شغلي خود را از طريق تحصيل به دست آورده اند. اين فاصله زياد به خوبي نشان مي دهد که مديران IT و رهبران اين حوزه بايد براي اصلاح برنامه هاي آموزش دانشگاهي وارد عمل شوند. در مجموع، راه درازي در پيش است تا بتوان اطمينان يافت که نسل آتي، با برخورداري از مهارت هاي مناسب وارد بازار کار مي شود؛ به ويژه که اقتصاد برنامه هاي کاربردي هيچ نشانه اي از کاهش رشد را نشان نمي دهد. 

آينده امنيت DevOps
رفع اين شکاف مهارتي در زمينه DevSecOps نيازمند آن است که تمام کسب وکارها، ذهنيت خود را تغيير دهند. گرچه رويکردهاي پياده سازي در هر سازماني متفاوت از ديگري است، اما همه سازمان ها بايد اين را درک کنند که مشکل کمبود استعدادها، يک اولويت است و کليت کسب وکار را تحت تأثير قرار مي دهد. اين تغيير فرهنگي بايد از سطوح بالاي سازمان سرچشمه بگيرد؛ يعني مديران IT بايد تيم مديريت ارشد را در خصوص ضرورت آموزش کارکنان، آگاه سازند. در اين صورت، اين ذهنيت در تمام سازمان جريان مي يابد. البته تمرکز تنها روي توسعه دهندگان نيست، بلکه بايد تيم هاي امنيت و عمليات را نيز شامل شود. هر يک از نقش آفرينان در محيط DevSecOps بايد درک دقيقي از اصول امنيت و DevOps داشته باشند تا راهبرد جديد به خوبي کار کند. مديران IT مي توانند از اين چهار شيوه براي به جريان انداختن روند تغييرات بنيادين در سازمان استفاده کنند:

آموزش امنيت در هر فرصتي
همان طور که در آموزش عالي نيز مي بينيم، امنيت نمي تواند يک واحد درسيِ جداگانه و مستقل باشد و بايد در تمامي واحدهاي آموزشي گنجانده شود. اگر سازمان ها اصول امنيتي را در تمامي فرصت هاي آموزشي خود بگنجانند، کارکنان مي توانند اين اصول را بهتر بياموزند، نحوه استفاده از آنها را در موارد واقعي مشاهده کنند و در نهايت، خروجي بهتري براي کسب وکار داشته باشند.

افزايش ارزش از طريق کاربردپذيري
صرف نظر از اين که برنامه آموزشي براي توسعه دهندگان تدوين شده است يا تيم هاي عمليات و امنيت، اين برنامه بايد هدفمند باشد و براي هر يک از مشاغل و نقش ها، طراحي شود. گرچه هر نقش بايد از دانش DevOps يا اصول امنيتي برخوردار باشد، اما بر حسب جايگاه شغلي و مجموعه مهارت هاي مورد نياز براي آن جايگاه، سطح اين دانش مي تواند متفاوت باشد. ارزشيابي سطح دانش اوليه اعضاي هر تيم و ارائه آموزش بر مبناي آن، تضمين خواهد کرد که سازمان، بودجه خود را در آموزش هاي غيرضروري صرف نکرده است و کارکنان بيشترين ارزش ممکن را از آموزش به دست آورده اند.

سرمايه گذاري در آموزش مستمر
آموزش مستمر، امري ضروري براي عرضه مستمر و امن نرم افزارها است. اگر اعزام توسعه دهندگان به کلاس هاي آموزشي بيرون از سازمان دشوار است، مي توان کارشناسان امنيتِ برنامه هاي کاربردي را براي آموزش کارکنان به سازمان دعوت کرد و دوره ها را ضمن کار برگزار نمود. 

مشارکت و ارتباط با جامعه امنيت
تشويق تيم ارشد مديريت يا توسعه دهندگان و رهبران امنيتي به حضور در فضاي آموزش عالي يا ارائه مشاوره گرچه ممکن است فوايد فوري و کوتاه مدتي براي سازمان نداشته باشد، اما ارزش انجام آن را دارد. اين فعاليت ها مي تواند در قالب برگزاري دوره هاي آشنايي با فضاي کار سازمان، برنامه پذيرش کارآموز يا ارائه مشاوره در خصوص برنامه هاي آموزشي و مهارت هاي مورد نياز براي نيروي کار باشد. به هر حال، چنين اقداماتي در بلندمدت تضمين مي کنند که نسل آتيِ دانش آموختگان، براي حضور موفق در کسب وکارهاي مبتني بر برنامه هاي کاربردي، مجهزتر خواهند بود.  
بر طرف نمودن شکاف موجود در حوزه DevSecOps در کوتاه مدت ممکن نيست. سازمان ها بايد همين امروز اقدامات لازم براي ارتقاي مهارت توسعه دهندگان، آموزش تيم هاي امنيتي و ايفاي نقشي فعالانه در پرورش توسعه دهندگان آتي را آغاز کنند. اين تنها مسيري است که مي توان رشد کسب وکار را تضمين کرد و اقتصاد برنامه هاي کاربردي را نيز براي امروز و فردا، امن ساخت.  

منبع: 

 

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان شهید بهشتی، خیابان شهید صابونچی، کوچه دهم ،پلاک 36 ،مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.