- Norge har noen av de beste utviklerne i verden, men ikke mange av dem er sikkerhetseksperter, sier Andy Stevens, Country Manager i VMWare Norge, til kode24.
Bare én av fem utviklere forstår hvilke sikkerhetsregler de selv er påkrevd å følge.
Dette er bare ett av en rekke alvorlige problemstillinger som har blitt avdekket i en undersøkelse utført av Forrester Consulting på vegne av VMWare.
Funnene er basert på en spørreundersøkelse med 1.475 IT-, sikkerhets- og utviklingsledere i en rekke land - inkludert Norge. Disse ble fulgt opp med fem kvalitative intervjuer.
Fuzzing: - Kanskje alle utviklere burde teste egne applikasjoner for alle bytes?
Forstår ikke hverandre
En av de store utfordringene som kommer fram i undersøkelsen, er at sikkerhetsfolkene og utviklerne befinner seg i egne "siloer", som ikke er koblet sammen med hverandre.
- Mange av utviklerne sier at sikkerhet er en ting som hindrer dem fra å oppnå suksess, sier Stevens.
45 prosent av utviklerne i undersøkelsen sa at de ble involvert i planleggingen av sikkerhetsstrategier. Derimot sa bare 38 prosent av sikkerhetsfolkene at de involverte utvikler-team.
"Dette indikerer at utviklere er enda mindre involvert i sikkerhetsstrategi-planlegging enn de tror de er", skriver forskerne bak undersøkelsen.
Stevens mener at utviklere og sikkerhetsfolkene ikke snakker til hverandre og forstår ikke hverandres utfordringer.
- Utviklerne tenker at sikkerhet er de store slemme guttene som gjør livet vanskeligere. Men sikkerhetsfolkene forsøker egentlig bare å beskytte organisasjonen, sier Stevens.
Annerledes språk
Det er vanlig for sikkerhetsavdelinger å lage "primere" for resten av organisasjonen om sikkerhetsprosedyrer- og retningslinjer, påpeker forskerne. Ifølge dem er problemet at sikkerhetsfolk snakker et annerledes språk enn resten av organisasjonen.
"Sikkerhets-team må lære å snakke språket til utvikler-teamet, heller en å spørre utviklere om å snakke sikkerhet", skriver forskerne.
«Mange av utviklerne sier at sikkerhet er en ting som hindrer dem fra å oppnå suksess.»
- Det er ikke bare det at sikkerhetsavdelinger har et språk. Utviklerne har også et eget språk. Det handler mer om forståelsen av hvordan de samarbeider og forstår hverandre, sier Stevens.
Ifølge ham bør samarbeidet bygges inn helt fra starten. Begge sider må stille seg spørsmålet: Hva er det vi som sikkerhetsorganisasjon vil oppnå? Hva er det utviklerne vil oppnå?
- Undersøkelsen viser at mange av organisasjonsfolkene vil bryte ned siloene. Samtidig gjør de ingenting for å fikse det. Det som skjer er at utviklingen slakker ned, sier Stevens.
Må integreres
Bare én tredjedel av respondentene indikerte at organisasjonens sikkerhetsløsninger var nesten eller helt integrert med sømløs deling av data mellom produkter og verktøy, skriver forskerne.
De oppfordrer bedriften til å sikre at sikkerhet ikke lenger en spesifikk spesialisering innenfor organisasjonen.
I stedet bør sikkerhet integreres gjennom folk, team, prosesser og teknologier. Dette mener forskerne vil både øke produktiviteten og kvaliteten til produktene.
- Det må bygges inn i den automatiserte prosessen i bedriften, sier Stevens.
Uten grep kan integreringsutfordringene få store konsekvenser. Blant annet kan det resultere i økte siloer, mindre samarbeid, sikkerhetsbrudd og dårlig manøvreringsevne.
Ifølge Stevens kan sistnevnte føre til dårligere innovasjon, som gjør at selskapet ikke klarer å holde følge med konkurrentene.
- Koding og utvikling er mektige ting. Å ikke være effektiv betyr at man taper konkurransen. De folkene som lider av dette er oss, brukerne.
