Security e sviluppatori devono imparare a parlare la stessa lingua Per stare al passo con l’innovazione e con le aspettative dei clienti, nelle aziende bisogna definire obiettivi condivisi tra i responsabili della sicurezza, l’IT e gli sviluppatori. Il punto di vista di Vmware. Pubblicato il 23 novembre 2021 da Redazione

La cybersicurezza è un aspetto sempre più importante, problematico e anche strategico per le aziende di ogni dimensione e genere, e su questo c’è un generale consenso nel settore IT. Il bisogno di innovazione continua, specie nelle applicazioni e servizi rivolti al cliente finale, è altrettanto critico per il successo di un’azienda. E spesso queste due esigenze - da un lato la protezione di dati, applicazioni e flussi di lavoro, dall’altro il miglioramento e la trasformazione della user experience - cozzano tra loro.

Così evidenzia, per esempio, una recente ricerca svolta da Forrester Consulting per conto di Vmware (“Bridging the Developer and Security Divide", 1.475 responsabili IT e responsabili della sicurezza intervistati). Conciliare le diverse necessità è possibile? Come mettere d’accordo i punti di vista degli amministratori IT aziendali, dei responsabili della cybersicurezza, degli sviluppatori e infine dei clienti? Ce lo spiega Rodolfo Rotondo, business solutions strategy director Emea di Vmware.

Rodolfo Rotondo, business solutions strategy director Emea di Vmware

L'esperienza cliente è l’obiettivo di business più importante per le aziende di oggi, ed è la rapidità con la quale viene offerta questa esperienza che distingue le aziende di successo. Offrire prodotti e servizi di qualità, innovativi e sicuri, e in tempi rapidi, è l’elemento differenziante per attrarre e mantenere clienti e rispondere alle richieste del mercato. Oggi, a prescindere dalle dimensioni dell'azienda e dal settore, questa capacità dipende da quanto i team tecnologici di un'organizzazione - security, IT e sviluppatori - sono allineati e lavorano insieme. Se questa relazione non funziona, con gli sviluppatori bloccati nella loro creatività, le applicazioni che perdono i dati dei clienti e l'infrastruttura e le piattaforme non resilienti, il rischio che il business sia minacciato è decisamente elevato. Tutto questo può arrecare danni alla reputazione, problemi legali e di compliance, dipendenti demotivati, problemi di retention e un'incapacità a rimanere competitivi.

La sicurezza, in particolare, ha bisogno di allinearsi al resto del business. Le organizzazioni di oggi, moderne e distribuite, hanno bisogno che la sicurezza sia "ovunque" ovvero non solo integrata, ma costruita in modo diverso. Ovvero sviluppata per stare al passo con l’accelerazione della trasformazione digitale post covid-19 che, parallelamente, ha rapidamente ampliato il panorama delle minacce informatiche.

Tuttavia in questo scenario la relazione tra sicurezza, sviluppatori e team IT deve ancora migliorare in maniera significativa. Secondo la nostra nuova ricerca condotta da Forrester, il 61% dei team IT e il 52% degli sviluppatori considerano la sicurezza un ostacolo alla loro innovazione, mentre solo uno sviluppatore su cinque dichiara di capire quali policy di sicurezza l’azienda si aspetta che rispetti. I responsabili senior sono ora più concentrati sulle relazioni tra team di sviluppo e sicurezza, ma è emerso come uno su tre non stia ancora collaborando efficacemente o facendo passi avanti per rafforzarle. Dov’è il punto di disconnessione? Perché continuano a permanere nelle organizzazioni relazioni decisamente non idilliache e soprattutto dove si colloca la sicurezza in questo scenario? Che cosa deve cambiare affinché la sicurezza sia diffusa e capillare in tutta l'azienda per realizzare l'innovazione, il controllo e infine il successo del cliente?



Un cambio di rotta

La mancanza di obiettivi comuni tra sicurezza, IT e sviluppatori ha rappresentato a lungo un problema, inasprito dalla potenziale complessità del mondo multi-cloud e delle app moderne di oggi. Il nostro studio ha rivelato infatti che le priorità non sono sempre allineate a quelle dei clienti, con i team IT e di sicurezza che vedono nella efficienza operativa la priorità numero uno (52%). Al contrario, i team di sviluppo danno priorità al miglioramento dell'esperienza utente (50%), che è invece la priorità numero quattro per i team IT e di sicurezza, mentre la prevenzione delle violazioni della sicurezza è seconda sia per l'IT sia per la sicurezza, ma quinta per gli sviluppatori.

Questa mancanza di allineamento è forse comprensibile. Gli sviluppatori tendono infatti a essere leggermente “a silos”, nel senso che la loro priorità è il cliente finale. Il loro successo ha tradizionalmente origine nello sviluppo dell'applicazione più attraente, il più velocemente possibile, per posizionare l'azienda per prima sul mercato. Una volta che c'è un prodotto che funziona, allora anche la sicurezza di questo diventa un obiettivo; una variabile, questa, che entra in gioco troppo tardi.

Tuttavia anche questo solleva alcune domande, legate principalmente al bisogno di un linguaggio comune. L'utente di uno sviluppatore, per esempio, è il cliente finale - ovvero chi genera le entrate - mentre l'utente per l'IT e la sicurezza è tradizionalmente considerato il soggetto interno. Soprattutto, anche il termine "sicurezza" acquista significati differenti per i tre team. Per gli sviluppatori, siamo di fronte alla sicurezza del codice dell'applicazione (bug del codice) e al supporto di protocolli di comunicazione sicuri (Https); per l'IT è la sicurezza dell'infrastruttura e lo sviluppo del ciclo di vita; per il business, infine, significa la sicurezza del personale, l'edificio in cui lavorano e la protezione dei dati. Quindi, non solo le priorità non sono allineate, ma anche e soprattutto la terminologia stessa con cui si parla di queste priorità non si traduce correttamente tra i team. La conversazione sull'allineamento tra essi non è solo in ritardo, ma viene discussa in linguaggi diversi all'interno dell'azienda.



Il problema della percezione della sicurezza

Poi si pone la questione della percezione della sicurezza, ancora considerata una barriera sia per gli sviluppatori sia per l'IT. Per molti, la sicurezza non è ancora abbastanza integrata nel business, né in termini di persone né di tecnologia. Questo si rispecchia nei risultati della nostra analisi, con più di un quarto degli sviluppatori che non sono affatto coinvolti nelle decisioni sulle policy di sicurezza, nonostante molte di queste abbiano un forte impatto sul loro ruolo. È necessario dunque muoversi verso uno scenario in cui la sicurezza sia pensata in modo diverso, come elemento in grado rafforzare il brand, costruire la fiducia tra i dipendenti e tra i clienti e ottimizzare la distribuzione delle applicazioni. Un elemento in grado, in sostanza, di eliminare la scelta (falsamente obbligata) tra innovazione e controllo.

Quindi, piuttosto che un "ripensamento della sicurezza" dello sviluppo delle applicazioni menzionato prima - dove questa funzione è erroneamente vista come qualcosa che si innesta dall’alto per risolvere violazioni e falle o, peggio, per intralciare l'innovazione - è semplicemente necessaria una maggiore collaborazione. Questo può aiutare la sicurezza a essere tanto presente quanto invisibile all'interno dell'organizzazione. Non deve più essere considerata una specializzazione, ma essere radicata nel ciclo di vita dell'innovazione fin dall'inizio. E, cosa fondamentale, deve essere riconosciuta come parte della customer experience. Dopotutto si può comprare una bella macchina che offre prestazioni fantastiche, con un design da favola e conveniente, ma se i freni non funzionano non è adatta allo scopo.



Il percorso delineato

Quando si tratta di realizzare questo cambiamento, è necessario partire dall'alto. Chi è il decision maker principale per la sicurezza, l'IT e gli sviluppatori? La realtà è che l’identificazione di questo soggetto non è univoca: all’interno delle organizzazioni coesistono diverse linee di business e reporting, diversi livelli di rappresentanza nel board. La sicurezza è sempre stata allineata all'IT, ma ciò che dovremmo vedere oggi non è forse uno spostamento delle sue priorità verso gli sviluppatori, passando dai firewall alla costruzione di app sicure, dal momento che quest'ultimo elemento è oggi un driver strategico dell'innovazione aziendale? Attualmente ci troviamo di fronte a un Far West di responsabilità, che alimenta la mancanza di allineamento strategico tra questi team.

Allineare le priorità sotto la responsabilità di un unico soggetto - un Digital Transformation Officer o qualcuno di simile - sarà vitale per unificare i team nella visione, strategia ed esecuzione. Incoraggerà la condivisione e l'allineamento dei Kpi. E aiuterà i team a “vendere” collettivamente all'interno dell'azienda per ottenere budget, convincere i loro clienti interni a impegnarsi con prodotti e soluzioni e cambiare la dinamica di risposta al cambiamento per guidarlo invece proattivamente.

Questo aiuterà a realizzare un vero e proprio cambiamento culturale. Non si tratta semplicemente di un processo educativo che unisce i team in termini di linguaggio e comprensione, ma di un cambiamento in cui questi siano uniti nel perseguimento di una priorità comune: l'attenzione verso il cliente. I principi del Total Quality Management (Tqm), ad esempio, possono aiutare a rendere questa trasformazione reale, ovvero a realizzare un approccio sistematico per raggiungere un successo a lungo termine grazie alla soddisfazione del cliente. Il Tqm inizia proprio dall'attenzione al cliente, per poi muoversi attraverso principi che includono il coinvolgimento dei dipendenti, il process thinking, il miglioramento continuo, il processo decisionale fact-based e la comunicazione. La sicurezza potrebbe allinearsi proprio qui, per assicurarsi di essere meglio integrata nel ciclo di vita dello sviluppo che porta avanti il business. In definitiva, se l'operazione dietro lo sviluppo e la distribuzione delle applicazioni è cresciuta, anche la sicurezza oggi deve fare lo stesso.

La buona notizia è che c’è consapevolezza sul fatto che le priorità e l'impegno condivisi dei team siano la strada da seguire. Più della metà (53%) degli intervistati si aspetta che i team di sicurezza e sviluppo siano unificati tra due-tre anni e quelli che credono esistano ostacoli a impedire questa unione sono destinati a ridursi dal 49% al 28% nei prossimi anni. Il 42% si aspetta che la sicurezza diventi più integrata nel processo di sviluppo entro due-tre anni e c'è un riconoscimento più ampio del fatto che l'allineamento tra i team permette alle aziende di ridurre i diversi silos (71%), creare applicazioni più sicure (70%) e aumentare l'agilità per adottare nuovi flussi di lavoro e tecnologie (66%).

Oggi c'è anche la consapevolezza che la sicurezza sia molto più di una semplice polizza assicurativa, ma un elemento in grado di permettere ai team di sviluppo di raggiungere i loro obiettivi con maggior sicurezza e successo, e non più qualcosa che ostacola l'innovazione o, peggio, qualcosa da aggirare. Accelerare questo processo deve essere una priorità per i responsabili aziendali. Le relazioni fra i tre team hanno un grande impatto sulle organizzazioni e il loro allineamento offre applicazioni più resilienti, maggiore reattività alle condizioni di mercato e compliance continua. La sicurezza ha oggi bisogno di ripensare i suoi processi per abbracciare ulteriormente i team che supporta. Ma tutti i team devono unirsi a sostegno della definizione di uno scenario futuro in cui l'attenzione al cliente, alimentata da un approccio sistematico e dalla seniority, unisca i team tecnologici e li autorizzi e abiliti a supportare il business.