СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Статьи
Swordfish Security
06.10.2022
#Dev#ИБ#Облака

Как измерить ценность DevSecOps для бизнеса?

Как измерить ценность DevSecOps для бизнеса?

Уход зарубежных вендоров, значительный рост числа кибератак и быстрый темп развития мирового рынка информационных технологий сделали российскую ИТ-отрасль еще более динамичной. В нынешних условиях компаниям нужно оперативно поставлять продукты на рынок, то есть разрабатывать их в ускоренном режиме, но не в ущерб качеству кода и безопасности ПО. Все эти запросы стали драйверами внедрения DevSecOps.

По данным экспертов, в ближайшие годы около 30% российских ИТ-компаний реализуют процесс безопасной разработки. Согласно зарубежным прогнозам, в 2022 году инструменты DevSecOps внедрят более 90% организаций-разработчиков ПО. В этой статье вместе с Андреем Красовским, директором по маркетингу Swordfish Security, мы поговорим о преимуществах процесса для бизнеса и разберемся, как оценить его эффективность.

Какие преимущества получит компания после внедрения DevSecOps?

Повышение уровня безопасности цифровых продуктов. В рамках DevSecOps совершенствуются процессы конвейера разработки/пайплайна, проверка кода на уязвимости проводится на каждом этапе жизненного цикла разработки ПО. Таким образом, на рынок выходят защищенные продукты. Это позволяет значительно сэкономить время и снизить расходы на устранение уязвимостей после релиза.

Высокая скорость реагирования на вопросы безопасности. В рамках DevSecOps проблемы кибербезопасности устраняются сразу после обнаружения.

Эффективная коммуникация между командами. DevSecOps объединяет в одну связку три подразделения: разработку, операционную деятельность и безопасность. Это позволяет специалистам оперативно выявлять и устранять уязвимости.

Автоматизация процессов. DevSecOps предусматривает внедрение инструментов автоматизированного анализа безопасности. Это намного увеличивает скорость проверок, а также снижает риск возникновения проблем из-за человеческого фактора.

Непрерывное обеспечение безопасности. С помощью инструментов автоматизации можно максимально эффективно настроить механизмы тестирования и предоставления отчетности. Непрерывные автоматические проверки позволят специалистам ИБ сосредоточиться на сложных стратегических задачах.

Все эти преимущества помогут бизнесу значительно сократить time-to-market, повысить качество своих продуктов в области безопасности и, как результат, приобрести серьезное конкурентное преимущество.

Оценка эффективности процесса DevSecOps

Построение процесса DevSecOps начинается с внедрения AppSec-инициативы. В рамках нее создается специальная команда по безопасности (SSG), задействуются задачи ИБ на различных этапах жизненного цикла разработки приложений, внедряются DevSecOps-фабрики по производству ПО, наращивается экспертиза в области ИБ в подразделении разработчиков. В процессе реализации AppSec-инициативы происходит постепенный переход от DevOps к DevSecOps. Всю эту работу в любой организации нельзя выполнить одномоментно. Это непрерывный процесс, требующий постоянного мониторинга прогресса. Чтобы измерить бизнес-ценность DevSecOps, необходимо определить соответствующие метрики на уровне организации и отслеживать их. Совокупность выбранных показателей можно назвать метрической программой DevSecOps. Ее цель — наладить управление безопасностью ПО за счет постановки целей и отслеживания прогресса по данным метрик.

На процесс DevSecOps влияют три заинтересованные стороны: разработка (Software Engineering), безопасность (Security) и руководство компании (Business). У каждой из этих групп свои цели и мотивация:

Разработка стремится реализовать функциональность продуктов в срок в соответствии с планом скриптов и релизов, улучшить процесс создания ПО для повышения их качества.

Безопасность работает над тем, чтобы повысить уровень защищенности цифровых продуктов и обеспечить непрерывность их функционирования с учетом индустриальных стандартов и требований регуляторов.

Руководство компании поддерживает баланс между уровнем безопасности ПО и стоимостью его защиты, стремится сократить время вывода продуктов на рынок.

Чтобы составить сбалансированную метрическую программу DevSecOps, стоит сконцентрироваться на ключевых показателях всех трех подразделений, которые можно объективно оценить с помощью данных отчетов, графиков, дашбордов. Анализ совокупности выбранных метрик позволит выработать оптимальный подход для управления процессом безопасной разработки.

У внедрения DevSecOps могут быть разные цели, поэтому при формировании набора метрик и их оценке важно учитывать, на каком уровне освоения методологии находится компания:

На начальном. Компания провела оценку возможностей DevSecOps и, отталкиваясь от этого, начала внедрять в процесс разработки требования и инструменты безопасности;

На зрелом. Организация уже сделала безопасность неотъемлемой частью процесса разработки;

На оптимизированном. Компания развивает DevSecOps как профит-центр через определение ценности процесса для бизнеса.

Например, организация, которая находится на зрелом уровне, со стороны команды разработки может включить в метрическую программу DevSecOps следующие ключевые показатели:

  • Срок поставки (время от коммита кода до развертывания, оно охватывает этапы, входящие в CI/CD-пайплайн);
  • Velocity команды (производительность команды, количество работы, которую она может выполнить за один спринт);
  • Open/close коэффициент (количество появившихся и закрытых проблем в единицу времени);
  • Частота развертывания (количество циклов CI/CD-пайплайна перед развертыванием в производственную среду);
  • Доля неуспешных изменений (процент изменений, внесенных в производственной среде, которые привели к проблемам в работе продукта);
  • Среднее время восстановления (количество времени, необходимое для решения проблем в производственной среде);
  • Время устранения ошибок при тестировании (промежуток времени, необходимый для устранения обнаруженных проблем).

Для анализа работы команды безопасности можно использовать такие метрики:

  • Процент мер ИБ, заложенных при проектировании и разработке ПО;
  • Процентное соотношение невыполненных требований по ИБ;
  • Количество найденных уязвимостей на всех этапах разработки и места их обнаружения;
  • Процент устраненных уязвимостей;
  • MTTR (среднее время наработки на отказ, временной промежуток между обнаружением уязвимостей и началом работы исправленных версий);
  • Процент дефектов в продукте, которые негативно влияют на состояние безопасности ПО;
  • Количество точек входа в ПО, которые можно применить для кибератак.

Со стороны руководства можно взять для анализа, например, эти показатели:

  • Процент бюджета, потраченный на кибербезопасность;
  • Стоимость ущерба, который мог бы возникнуть из-за тех уязвимостей, которые были устранены в процессе разработки;
  • Среднее время от начала разработки идей до выхода на рынок готовых продуктов;
  • Число кибератак, совершенных на продукты компании;
  • Размер финансового и глубина репутационного ущерба от совершенных кибератак.

Оценка пользы DevSecOps в денежном выражении

Измерить ценность DevSecOps можно как разницу между прибылью, вырученной от внедрения процесса (DevSecOps profit) и суммой расходов на него (финансы, потраченные на инструменты и сервисы, персонал, обучение новых сотрудников, внешнее тестирование на проникновение и так далее) и средств, потерянных в этой области за время использования DevSecOps (общая стоимость инцидентов безопасности ПО за обозначенный период).
Таким образом, можно вывести следующую формулу:

Ценность DevSecOps = DevSecOps profit – (расходы + потерянные средства).

Прибыль от DevSecOps для всех цифровых поставок компании за определенный период времени включает в себя:

  • Бизнес-ценность разработанной функциональности цифровых продуктов, запущенных в промышленную эксплуатацию. Она определяется соответствием безопасности разработок индустриальным стандартам и требованиям регуляторов.
  • Риски, покрываемые за счет устранения найденных уязвимостей в ПО в процессе разработки. В качестве оценки можно использовать стоимость ущерба, который мог бы возникнуть, если бы эти риски были актуальны в промышленной среде.
  • Экономию ресурсов при разработке ПО. По данным компании Forrester, каждый разработчик тратит в среднем около 3,5% времени на устранение уязвимостей. После внедрения DevSecOps специалисты смогут сократить этот показатель примерно на 50% и использовать высвободившееся время на разработку.
  • Экономию ресурсов за счет сокращения времени вывода продуктов на рынок. Этот показатель охватывает экономию времени для всех команд, задействованных в DevSecOps. Он рассчитывается умножением числа сотрудников подразделений на среднюю годовую стоимость инженера в компании и на время, сэкономленное за счет сокращения time-to-market.

При правильном внедрении DevSecOps компания сможет улучшить показатели KPI, повысить уровень защищенности своих продуктов, сократить время вывода ПО на рынок и за счет этого окупить инвестиции во внедрение процесса безопасной разработки и выйти в плюс. Например, по тем же данным Forrester, для крупной организации с численностью разработчиков около 1500–2000 человек точка безубыточности инвестиций в одну из ведущих облачных платформ DevSecOps может быть достигнута примерно за три месяца, а чистая приведенная стоимость (Net Present Value, NPV) способна превысить 2 миллиона долларов в год.

Заключение

Внедрение DevSecOps — сложный процесс, который потребует от компании ресурсов, усилий и времени. Если всё сделать правильно, вложения окупятся, принесут организации пользу и позволят ей улучшить свое положение на рынке. Но как в процессе внедрения понять, что всё идет, как нужно? Необходимо проводить постоянный мониторинг прогресса, и для этого, как мы выяснили, потребуется сформировать метрическую программу DevSecOps. Четкий набор показателей ключевых команд, задействованных в процессе, позволит проследить за эффективностью внедрения практик безопасности, вовремя обнаружить возникшие ошибки и скорректировать план и методы работы. При выборе и исследовании метрик обязательно нужно учитывать, на каком этапе внедрения находится компания.

Таким образом, проводить анализ эффективности DevSecOps необходимо в обязательном порядке в целях контроля над процессом внедрения, а не только для того, чтобы оценить пользу, которую получила компания. Изучать метрики стоит и после того, как процесс будет построен, это позволит управлять безопасностью ПО и совершенствовать функционирование методологии в компании. Оценить финансовую выгоду от DevSecOps в полной мере получится через некоторое время после внедрения, когда компания создаст и выпустит продукты в рамках полноценно настроенного процесса (например, через 1–3 года).

Swordfish Security
Автор: Swordfish Security
Лидер рынка стратегического консалтинга в области цифровой трансформации процессов разработки защищенного ПО и внедрения технологических практик DevSecOps
Комментарии: