همانگونه که DevOps متخصصین توسعه ی نرم افزار و اعضای تیم عملیات را در قالب یک تیم شکل می دهد, SecOps هم یک روش مدیریتی برای ایجاد ارتباط بین تیم های امنیت و عملیات است. فلسفه ی SecOps اینست که تیم های امنیت و عملیات با به اشتراک گذاشتن مسوولیت ها, فرآیندها, ابزار و اطلاعات, خیال سازمان را راحت کنند که مجبور نیست امنیت را فدای بهره وری بهتر و یا آپ تایم بالاتر کند. وقتی هر دو تیم همزمان در جریان روند کارها باشند, چشم انداز بهتری نسبت به تغییرات مورد نیاز و تاثیر آن تغییرات بر بخش های مختلف,فراهم می شود.
فرآیند ادغام تیم های امنیت و عملیات در چند قدم انجام می شود. اولین قدم تعیین اولویت ها و فرآیندهای تصمیم گیری است. قدم بعدی, تعیین کانال های ارتباطی, ابزارهای نرم افزاری و مجوزهای موردنیاز برای دسترسی به اطلاعاتی است که قرار است به اشتراک گذاشته شود تا تمام اعضای تیم دیدگاهی متحد و جامع از روند توسعه داشته باشند. در آخر, تمام فرآیندهای توسعه باید بگونه ای بروزرسانی شوند که امنیت در تمام مراحل گنجانده شود.
اساسی ترین تفاوت SecOps با روش های مدیریتی دیگر اینست که امنیت در مسوولیت تمام اعضای تیم و همچنین در تمام جنبه های مختلف سازمان در نظر گرفته شده است. برای مثال, ممکن است یک نمایندگی خدمات مشتریان در مورد یک ایمیل مشکوک اطلاع رسانی کند و یا یک مهندس پایگاه داده در مورد یک حمله ی تزریق SQL گزارشی ارایه نماید.
از آنجا که تیم های امنیت اطلاعات نقش حیاتی تری در سازمان ها ایفا می کنند, وجود SecOps این اطمینان خاطر را ایجاد می کند که خلاء موجود بین امنیت و عملیات مخاطره ای برای شرکت ایجاد نکند. همکاری تیم های امنیت و عملیات به سازمان ها در کاهش ناکارآمدی فرآیندها کمک نموده در مجموع امنیت و مسوولیت پذیری را گسترده تر می نماید.
اهداف SecOps
یکی از اهداف SecOps اینست که جنبه های امنیتی یک پروژه قبل و یا هنگام شروع هرکدام از مراحل چرخه ی توسعه شناسایی و معرفی شوند. تاکید مدیریت بر تضمین پیشرفت های امنیتی به منظور داشتن نقشه ی راهی جامع تر است. همکاری بین تیمی و بررسی عملکردی ریسک های عملیاتی از دیگر اهداف SecOps می باشد.
SecOps ممکن است برای بعضی سازمان ها یک تغییر فرهنگی باشد به این معنی که برای رسیدن به اهداف بزرگتر باید مسایل بزرگتری شناسایی و بررسی شوند. در این شرایط, ممکن است نیاز به تعریف مجدد نقش ها و اولویت های شغلی, تشریح ریسک های حاصل از مخاطرات امنیتی و توافق در مورد کارکردهای اصلی سازمان باشد.
نتایج
پیاده سازی روشی برمبنای SecOps در سازمان نتایج زیر را بهمراه خواهد داشت:
- بازدهی بالاتر در سرمایه گذاری
- بهبود بهره وری
- استفاده ی کارآمدتر از منابع مشترک
- اختلالات کمتر در برنامه های کاربردی و سرویس ها
- ممیزی امنیتی ساده تر
- دیدگاه وسیع تر از آسیب پذیری های امنیتی در سازمان
- اتخاذ آسان تر فن آوری هایی که به اقدامات امنیتی پیشرفته مانند خدمات ابری احتیاج دارند
- مدیریت و واکنش قوی تر در برابر حوادث
- ایجاد وصله های موثرتر
- نیاز به انطباق کمتر
DevSecOps
یکی از واژه های مرتبط با SecOps عبارتست از DevSecOps , فرآیندی که شیوه های امنیتی را از بخش توسعه تا عملیات لایه بندی می کند. اگرچه اصطلاح DevSecOps نسبتا جدید است, اما ایده ی پرداختن به امنیت در هر مرحله از چرخه ی حیات نرم افزار سال هاست که وجود دارد. DevSecOps معمولا روی روش های توسعه ی چابک که ناظر بر سرعت و کارآیی هستند, تمرکز می کند. همکاری بین تیم ها دایم افزایش می یابد تا این اطمینان حاصل شود که امنیت در کنار توسعه و عملیات همچنان باقی می ماند.
https://go.techtarget.com/r/117078171/22631373
