Часть VI. Методики интегрирования информационной безопасности, управления изменениями и контроля над соответствием нормам и требованиям

В предыдущих главах мы рассмотрели создание быстрого потока ценности от отправки готового кода в систему до релиза, а также противоположно направленного потока обратной связи. Мы изучили особенности культуры организации, ускоряющие обучение и распространение новых знаний и усиливающие слабые сигналы о сбоях, благодаря чему рабочая среда становится еще более безопасной.

В части VI мы продолжим рассматривать эти вопросы, при этом учитывая цели не только разработки и эксплуатации, но и отдела информационной безопасности. Это поможет нам повысить степень конфиденциальности, надежности и доступности наших сервисов и данных.

Вместо того чтобы вспоминать о безопасности только в самом конце проекта, мы будем создавать и интегрировать средства контроля защиты в ходе повседневной работы в разработке и эксплуатации, чтобы в итоге за безопасность отвечали все сотрудники компании. В идеале эта работа должна быть автоматизирована и встроена в конвейер развертывания. Кроме того, мы снабдим автоматическим управлением методики, предполагающие действия вручную, способы принятия решений и процессы согласования, чтобы меньше полагаться на разделение обязанностей и процессы одобрения изменений.

Автоматизируя эти действия, мы можем в любой момент продемонстрировать аудиторам, экспертам или коллегам, что средства контроля работают эффективно.

В итоге мы не только улучшим безопасность систем, но и создадим такие процессы, благодаря которым будет проще проводить аудит или оценивать эффективность контроля. Они будут соответствовать законодательным и контрактным требованиям. Чтобы достичь этой цели, мы:

• сделаем безопасность частью повседневной работы всех сотрудников;

• встроим профилактические меры безопасности в единый репозиторий исходного кода;

• преобразуем конвейер развертывания в соответствии с принципами безопасности;

• преобразуем телеметрию с учетом принципов безопасности, чтобы улучшить возможности обнаружения сбоев и восстановления после ошибок;

• обеспечим защиту конвейера развертывания;

• совместим процедуры развертывания и процессы согласования изменений;

• уменьшим зависимость от разделения обязанностей.

Делая заботу о безопасности частью повседневной работы и деля ответственность за нее между всеми сотрудниками, мы улучшаем безопасность организации. Правильная забота о защите данных означает, что мы ответственно и благоразумно обращаемся с конфиденциальной информацией. Это, в свою очередь, означает, что наша компания надежна и более доступна для клиентов, поскольку способна поддерживать непрерывность своей работы и легко восстанавливаться после неудач. Мы также можем устранять проблемы безопасности до того, как они приведут к катастрофическим результатам, а также повысить предсказуемость работы наших систем. И, наверное, самое важное — мы можем поднять защиту систем и данных на качественно новый, ранее недостижимый уровень.