DevSecOps, l'esperto in Development Security Operations
Chiunque non abbia mai visto prima l’abbreviazione DevSecOps rimane confuso prima di scoprire che sta per Development Security Operations. Tradotto in italiano vuol dire sviluppo delle operazione di sicurezza intesa in ambito digitale. Da sola l’abbreviazione riguarda la mansione ma se di fianco vi si aggiunge la parola “Expert” allora parliamo del professionista coinvolto.
Per arrivare a ricoprire questa posizione occorre un’ampia esperienza nel campo della programmazione e della cyber security. Il suo lavoro infatti non è posteriore allo sviluppo di un software. Anzi, viene coinvolto direttamente nella sua elaborazione per implementarne la sicurezza. Negli USA è già una figura molto richiesta dalle aziende sia di grandi che di piccole dimensioni.
In che contesto si va a inserire il DevSecOps Expert
L’approccio metodologico di questo professionista è ritenuto all’avanguardia perché previene le vulnerabilità informatiche anziché correggerle. Dato che queste emergono quando ormai è tardi per evitare un furto di dati o danni peggiori modificare il processo di sviluppo dei software è fondamentale. Con l’intervento di questa figura quindi la programmazione diventa molto più meticolosa.
La figura del DevSecOps Expert è al risposta del settore della cyber security all’evoluzione delle tecniche di hackeraggio e in generale del crimine digitale. Nel 2022 in soli dodici mesi gli attacchi informatici sono aumentati del 168,6%. Questo dato ha messo ovviamente in allarme le aziende portandole a focalizzare molte più energie su questo aspetto.
Finora infatti la maggior parte della società ha curato la propria sicurezza informatica ricorrendo a servizi di consulenza esterni per valutare i rischi potenziali. Le tipologie di crimine informatico più comuni sono tre, ovvero le azioni di phishing, gli attacchi malware e quelli zero-day. La figura professionale che stiamo esaminando si concentra in particolare sull’ultima tipologia delle tre.
Gli attacchi zero-day sono infatti azioni cyber criminali in cui gli hacker sfruttano vulnerabilità già presenti nel codice di un software. Una svista degli sviluppatori per una revisione sommaria diventa spesso una porta aperta per attacchi informatici. Errori di questo tipo si possono sistemare solo con delle patch correttive che però richiedono tempo. In più non tutti gli utenti provvedono a installarle.
Come si lavora con questo nuovo approccio
Una volta compreso perché sia indispensabile un DevSecOps Expert in ogni azienda bisogna capire come eserciti la propria professione. Perché lavori al meglio sono necessarie alcune pratiche:
- Prevedere una formazione approfondita in tema Cyber Security per il personale (in particolare gli sviluppatori) impiegati nella divisione IT. Maggiori sono le conoscenze in materia più facile sarà per il professionista inserirsi nella realtà per cui sta lavorando.
- Organizzare dei processi ripetibili per le varie fasi di programmazione per agevolare questa attività. In parole povere stendere dei protocolli per uniformare i ritmi di lavoro all’interno del team in modo che i ruoli all’interno del progetto siano ben definiti. La disorganizzazione è il nemico numero uno della sicurezza.
- Accordarsi con il DevSecOps Expert in modo che introduca il nuovo approccio alla sicurezza informatica in modo graduale. Si possono scegliere dei progetti di software minori da usare come banco di prova per il nuovo metodo di lavoro. Solo dopo questi test se ne può allargare l’applicazione.
- Introdurre pratiche come gli aggiornamenti di sicurezza automatici sui propri prodotti digitali in modo da alleggerire il lavoro a sviluppatori e tecnici informatici. In più così si contiene già il pericolo di minacce e attacchi hacker minori permettendo di concentrarsi su potenziali vulnerabilità maggiori.
Che formazione deve avere un DevSecOps Expert
- Conoscere l’architettura della sicurezza del cloud computing. Per risultare efficace questa prevede diversi tipi di controlli tra cui quelli preventivi, correttivi, di tipo deterrente e investigativi.
- Avere dimestichezza con Python, Java e PowerShell.
- Essere formati sull’SCDL (System Development Life Cycle) ossia il ciclo di vita dello sviluppo di un software. Questa espressione indica il processo più efficiente per produrre un’applicazione studiato per ridurre al massimo gli sprechi di tempo. Consiste in sei fasi che in ordine sono pianificazione, definizione, progettazione, costruzione, testing e messa in produzione.
- Conoscere i principali tool di automazione, ossia gli strumenti che aiutano gli amministratori di rete a gestire al meglio le operazioni di routine.