DevSecOps

DevSecOps, l'esperto in Development Security Operations

Chiunque non abbia mai visto prima l’abbreviazione DevSecOps rimane confuso prima di scoprire che sta per Development Security Operations. Tradotto in italiano vuol dire sviluppo delle operazione di sicurezza intesa in ambito digitale. Da sola l’abbreviazione riguarda la mansione ma se di fianco vi si aggiunge la parola “Expert” allora parliamo del professionista coinvolto.

Per arrivare a ricoprire questa posizione occorre un’ampia esperienza nel campo della programmazione e della cyber security. Il suo lavoro infatti non è posteriore allo sviluppo di un software. Anzi, viene coinvolto direttamente nella sua elaborazione per implementarne la sicurezza. Negli USA è già una figura molto richiesta dalle aziende sia di grandi che di piccole dimensioni.

Indice
Master in Criminologia
Diventa Criminologo e iscriviti all'Albo
Scopri di più

In che contesto si va a inserire il DevSecOps Expert

L’approccio metodologico di questo professionista è ritenuto all’avanguardia perché previene le vulnerabilità informatiche anziché correggerle. Dato che queste emergono quando ormai è tardi per evitare un furto di dati o danni peggiori modificare il processo di sviluppo dei software è fondamentale. Con l’intervento di questa figura quindi la programmazione diventa molto più meticolosa.

La figura del DevSecOps Expert è al risposta del settore della cyber security all’evoluzione delle tecniche di hackeraggio e in generale del crimine digitale. Nel 2022 in soli dodici mesi gli attacchi informatici sono aumentati del 168,6%. Questo dato ha messo ovviamente in allarme le aziende portandole a focalizzare molte più energie su questo aspetto.

Finora infatti la maggior parte della società ha curato la propria sicurezza informatica ricorrendo a servizi di consulenza esterni per valutare i rischi potenziali. Le tipologie di crimine informatico più comuni sono tre, ovvero le azioni di phishing, gli attacchi malware e quelli zero-day. La figura professionale che stiamo esaminando si concentra in particolare sull’ultima tipologia delle tre.

Gli attacchi zero-day sono infatti azioni cyber criminali in cui gli hacker sfruttano vulnerabilità già presenti nel codice di un software. Una svista degli sviluppatori per una revisione sommaria diventa spesso una porta aperta per attacchi informatici. Errori di questo tipo si possono sistemare solo con delle patch correttive che però richiedono tempo. In più non tutti gli utenti provvedono a installarle. 

Come si lavora con questo nuovo approccio

Una volta compreso perché sia indispensabile un DevSecOps Expert in ogni azienda bisogna capire come eserciti la propria professione. Perché lavori al meglio sono necessarie alcune pratiche:

  •  Prevedere una formazione approfondita in tema Cyber Security per il personale (in particolare gli sviluppatori) impiegati nella divisione IT. Maggiori sono le conoscenze in materia più facile sarà per il professionista inserirsi nella realtà per cui sta lavorando. 
  • Organizzare dei processi ripetibili per le varie fasi di programmazione per agevolare questa attività. In parole povere stendere dei protocolli per uniformare i ritmi di lavoro all’interno del team in modo che i ruoli all’interno del progetto siano ben definiti. La disorganizzazione è il nemico numero uno della sicurezza.
  • Accordarsi con il DevSecOps Expert in modo che introduca il nuovo approccio alla sicurezza informatica in modo graduale. Si possono scegliere dei progetti di software minori da usare come banco di prova per il nuovo metodo di lavoro. Solo dopo questi test se ne può allargare l’applicazione. 
  • Introdurre pratiche come gli aggiornamenti di sicurezza automatici sui propri prodotti digitali in modo da alleggerire il lavoro a sviluppatori e tecnici informatici. In più così si contiene già il pericolo di minacce e attacchi hacker minori permettendo di concentrarsi su potenziali vulnerabilità maggiori.

Che formazione deve avere un DevSecOps Expert

La professione non esiste da molto ma per intraprendere questo tipo di carriera serve possedere già approfondite conoscenze informatiche. Aver conseguito una laurea triennale in Informatica o addirittura una magistrale in Cyber Security (si trova al Politecnico di Torino) sono ottime basi di partenza. Altrimenti va bene anche un percorso in Ingegneria Informatica. 
 
Per qualificarsi come DevSecOps Expert esistono già corsi online sul web. Ma per rimanere sul generico le conoscenze necessarie riguardano i seguenti ambiti:
 
  •  Conoscere l’architettura della sicurezza del cloud computing. Per risultare efficace questa prevede diversi tipi di controlli tra cui quelli preventivi, correttivi, di tipo deterrente e investigativi.
  • Avere dimestichezza con Python, Java e PowerShell.
  • Essere formati sull’SCDL (System Development Life Cycle) ossia il ciclo di vita dello sviluppo di un software. Questa espressione indica il processo più efficiente per produrre un’applicazione studiato per ridurre al massimo gli sprechi di tempo. Consiste in sei fasi che in ordine sono pianificazione, definizione, progettazione, costruzione, testing e messa in produzione.
  •  Conoscere i principali tool di automazione, ossia gli strumenti che aiutano gli amministratori di rete a gestire al meglio le operazioni di routine.

Le mansioni che svolge il professionista 

A un DevSecOps Expert sono richiesti diversi compiti, tra cui uno dei principali riguarda la diffusione di una cultura della sicurezza informatica. Fornire consapevolezza sui rischi e sulle responsabilità legali dell’azienda e dei singoli lavoratori a progettare software e prodotti digitali protetti da potenziali attacchi. 
 
Un’altra mansione centrale del suo lavoro è quella di incoraggiare la comunicazione e la collaborazione stretta fra sviluppatori e tecnici della sicurezza. Lavorando a stretto contatto è possibile condividere le proprie conoscenze e best pratice colmando eventuali lacune e monitorarsi a vicenda. Per contenere l’errore umano invece deve prevedere il ricorso all’automazione dove possibile.
 
Un DevSecOps Expert deve anche utilizzare il processo di gestione Infrastructure as code (IaC). Questa pratica racchiude l’essenza del nuovo approccio alla sicurezza per modificare l’infrastruttura di un software in modo efficiente e automatizzato. Molte operazioni manuali che seguono a una implementazione di un’app non si rendono più necessarie grazie all’IaC.
 
Infine il professionista ha anche il dovere di testare le misure di sicurezza informatica che ha predisposto. Tra i metodi di analisi uno dei più usati è il penetration test che consiste in una simulazione di attacco hacker atto a trovare le vulnerabilità di un codice. Per questo processo può affidarsi anche ad un ethical hacker, altra figura sempre più rilevante in ambito informatico.
Scopri i nostri Master e corsi di alta formazione
Master in Cyber Criminologia
Scopri il Master online riconosciuto MIUR
Scopri di più
Esperto in Bullismo e Cyberbullismo
Scopri il Master online riconosciuto Miur
Scopri di più
Condividi su
Facebook
LinkedIn
Email
WhatsApp
Scritto da
Picture of Nausicaa Tecchio
Nausicaa Tecchio
Ghostwriter e copywriter freelance
Categorie
Categorie
Iscriviti alla newsletter

Ricevi i nostri migliori articoli, contenuti gratuiti, offerte riservate e tanto altro!

google news

Ricevi le nostre notizie da Google News

Seguici