Get DevSecOps done!

4 Tipps für einen erfolgreichen DevSecOps-Ansatz mit RPA

Per Stritich

© Shutterstock / Ana Aguirre Perez

In Zeiten von DevOps und der Cloud ist die Sicherheit ein nicht zu vernachlässigender Faktor bei der Projektplanung. Das Zauberwort für erfolgreiche Integration von Security in ein Softwareprojekt ist DevSecOps. In diesem Artikel gibt Per Stritich, Vice President DACH bei Automation Anywhere, vier Tipps, wie Unternehmen DevSecOps erfolgreich umsetzen können. Im Zuge dessen erklärt er auch, wie sich Robotic-Process-Automation-Technologien in den Ansatz einfügen lassen.

Vom Großkonzern bis zum Start-up: Dank Cloud Computing lassen sich Dienstleistungen einfach und problemlos auf die Anforderungen unterschiedlicher Unternehmensgrößen skalieren – auch, um die unterschiedlichen Kundenerwartungen zu erfüllen. Anwendungen stehen Mitarbeitern über die Cloud schnell und effizient zur Verfügung, gleichzeitig müssen Organisationen sich weniger Gedanken um Infrastruktur und Wartung sowie deren Kosten machen. Die Automatisierung und der Aufbau einer Cloud-Plattform für schnellere und agilere IT-Sicherheit-Teams hat viele Vorteile für schnell skalierende Unternehmen.

Die IT-Security sollte dabei immer eine zentrale Rolle spielen und kann mit einer entsprechenden DevSecOps-Strategie von Beginn an in die Softwareentwicklung integriert werden – sozusagen ein Security-by-Design-Ansatz. Damit ist eine proaktive, kundenzentrierte Herangehensweise an Security gewährleistet, anstatt reaktiv auf Datenschutzverletzungen und Cyber-Angriffe zu reagieren. Richtig eingesetzt, reduziert DevSecOps in Verbindung mit Robotic Process Automation (RPA) die Kosten, um Sicherheitslücken zu beheben. Denn Security ist Bestandteil jeder Phase des Entwicklungsprozesses.

Für Unternehmen ist es vorteilhaft, DevSecOps und RPA bereits im Entwicklungszyklus zu integrieren. Haben die IT-Teams von Beginn an die IT-Security im Blick, können sie Software-Schwachstellen leichter identifizieren und beheben. So lässt sich zum Beispiel der Secure-by-Design-Ansatz mit RPA verknüpfen, um Codes zu überprüfen, Sicherheitschecks zu automatisieren sowie die Software und Systemmeldungen zu kontrollieren. Automatisierung sollte ein fester Bestandteil von Planung, Design, Erstellung, Tests und Bereitstellung sein. Nicht ausreichend auf Schwachstellen getestete Anwendungen setzen Unternehmen erhöhten Sicherheitsrisiken aus. Die IT sollte daher bereits in der Planungsphase eingebunden werden. Damit ist gewährleistet, dass die Software ausreichend getestet wird und sich schnell und effizient einsetzen lässt.

Vier Best Practices für erfolgreiches DevSecOps mit RPA

Wie viele Security-Pläne besteht die erfolgreiche Implementierung der DevSecOps aus drei Segmenten: Menschen, Prozesse und RPA-Technologie. Für einen erfolgreichen DevSecOp-Ansatz sollten die folgenden Tipps beachtet werden:

1. Security schon in der Planungsphase

IT- und Operations-Teams sollten bereits im frühen Software-Entwicklungsstadium (Software Development Lifecycle, SDLC) einbezogen werden – bestenfalls ist IT-Security bereits in der Planungsphase fester Bestandteil. Dies ist nicht die Aufgabe einer einzelnen Abteilung, sondern ist ein grundlegendes Gerüst in der Produkt- und Unternehmenskultur.

2. RPA-Werkzeuge im Einsatz

Einzelne Automatisierungswerkzeuge werden ebenfalls Teil des SDLC-Prozesses sein. Richtig eingesetzte RPA-Werkzeuge unterstützen bei einer Vielzahl von Arbeitsschritten: Dazu gehört beispielsweise die Kontrolle von einzelnen Softwareversionen, eine kodifizierte Sicherheit, Sicherheitsmechanismen in CI/CD, Analyse von Threat Intelligence-Daten, die Erstellung von Playbooks und Aktionsplänen im Falle von Sicherheitsvorfällen sowie die Mobilisierung des IT-Security-Teams bei einem gravierenden Zwischenfall.

3. Mitarbeiterschulungen für Kompetenzausbau

Mitarbeiter sollten Schulungen erhalten, um so ihre Kompetenzen auszubauen – hinsichtlich der verwendeten Anwendungen und Tools, aber auch, damit sie aktuelle Threat-Szenarien kennen und entsprechend sensibilisiert sind. Dies ist entscheidend, damit IT-Security-Teams schnell auf Bedrohungen und Vorfälle reagieren und Lösungen finden.

4. Etablierung fester Prozesse für das Testen

Entwicklerteams sollten feste Prozesse zum Testen von Anwendungen etablieren. Viele Prozesse können automatisiert werden, dazu gehören Scannen, Rundtime Application Self-Protection und Open Source Control. Aber auch die stetige Überprüfung der Software gehört dazu, um die Oberfläche erheblich zu reduzieren und den Umgang mit Sicherheitsvorfällen zu verbessern.

Die vier Richtlinien für einen DevSecOp-Ansatz mit RPA bilden ein hilfreiches Gerüst für Unternehmen, um von Beginn an die Sicherheit bei der Softwareentwicklung im Blick zu haben.

Geschrieben von
Per Stritich

Vice President DACH Automation Anywhere

Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
4000
  Subscribe  
Benachrichtige mich zu: