DevSecOps tuo selviä hyötyjä

Osallistuin viime viikolla eWork Groupin virtuaaliseen afterwork-tapahtumaan puhujana Futuricen Bruno Amaro Almeidan ohella. Tapahtuman aihe oli DevSecOps (turvallinen DevOps) ja ajattelin nostaa esiin muutamia huomioita siitä, mitä hyötyjä DevSecOps-ajattelusta on kehitettäessä uusia tuotteita ja palveluita. DevSecOpsin toimintaa on avattu aiemmin tässä kirjoituksessa.

Johtavana ajatuksena oli se, miksi turvallisuusajattelu tulisi saumattomasti yhdistää kehitystoimintaan. Tietoturvan hoitamisen ei tarvitse olla hidaste, vaan se voi olla myös mahdollistaja.

Turvallisuus

Tämä on varmasti selvin hyöty. DevSecOps-mallinen toiminta auttaa luomaan turvallisempia palveluita ja tuotteita. Kun turvallisuus otetaan alusta alkaen kaikissa kehitysvaiheissa huomioon, on ongelmien ratkominen ja ennakointi helpompaa. Tietoturvan miettiminen vasta myöhemmissä vaiheissa tekee ongelmien korjaamisesta vaikeampaa tai jopa mahdotonta. Aikainen tietoturvan pohtiminen ja riskien ennakointi estää monia tietoturvaongelmia syntymästä alun perinkään. DevSecOps siis tuo turvallisuutta ja samalla säästää aikaa ja rahaa.

Dokumentaatio

Korostimme puheissamme dokumentaation tärkeyttä DevSecOpsissa. DevSecOps pakottaa dokumentoimaan jatkuvasti. Tämä on osaltaan hyvä asia, koska se helpottaa tietoturvaan ja muihin asioihin liittyvien ongelmien ratkontaa myöhemmissä vaiheissa, kuten myös esimerkiksi mahdollisia auditointeja. Monesti puutteellinen dokumentaatio on vähintään osasyynä suurempiin ongelmiin. Tietoturva- ja tietosuoja-asioissa hyvä dokumentaatio auttaa myös viranomaisten kanssa asioitaessa.

Nopeammin valmiiksi

Ylläolevat seikat mahdollistavat tuotteiden tai palveluiden tuomisen nopeammin asiakkaiden saataville. Monissa työvaiheissa säästetään aikaa, kun dokumentaatio on kunnossa ja monimutkaisia tietoturvaongelmia ei tarvitse olla ratkomasssa jälkikäteen. Samalla saavutetaan nopeammin tilanne, jossa voidaan todeta että lopputulos on riittävän valmis asiakkaille ja omaan käyttöön myös turvallisuuden osalta.

Kilpailuetua DevSecOpsista

Kaikki ylläolevat johtavat osaltaan siihen, että yritys alkaa saada kilpailuetua. Tuotteet tulevat nopeammin ja turvallisempina markkinoille, ja kehitysvaiheessa säästetään rahaa ja aikaa. Tietoturvariskien vähentäminen auttaa pitkälle tulevaisuuteen suojaamalla hyökkäyksiltä, tietomurroilta ja mahdollisesti jopa niihin liittyviltä viranomaisprosesseilta. Turvallisuus alkaa enenevässä määrin painaa myös asiakkaan mieltä hänen tehdessään ostopäätöstä.

Tämä pohdinta on toki enemmän yksityiseen sektoriin kohdistuvaa, mutta julkinen sektori hyötyy yhtä lailla siitä että asioita tehdään nopeammin, turvallisemmin ja että asiakkaiden (kansalaisten) luottamus tarjoittuihin palveluihin pysyy korkealla tai jopa kasvaa.

Yhteenveto

Yllä kuvasin niitä huomioita joita nostimme puheissamme esiin DevSecOpsin hyödyistä. Turvallisuusajattelun ei tarvitse olla hidaste. DevSecOpsista voidaan esimerkiksi automaation ja fiksujen prosessien kautta rakentaa tosiasiassa toimintaa parantava ja nopeuttava tapa, joka samalla lisää kilpailuetua.

Kiitos Eworkille järjestämisestä sekä tilaisuuden siirtämisestä nettiin nopealla aikataululla, sekä Brunolle mielenkiintoisesta puheesta DevSecOpsista ja uhkamallinnuksesta josta opin itsekin uusia asioita.


Kategoria Blogi