I suggerimenti dei CISO per mettere al sicuro ambienti DevOps e Cloud

Un rapporto sponsorizzato da CyberArk illustra i suggerimenti dei CISO sul come proteggere l’accesso privilegiato in ambienti DevOps e Cloud

 

Cosa accomuna società come Starbucks, American Express, Lockheed Marin, Asian Development Bank e Orange Business Services? E’ semplice, osserva CyberArk, società di livello mondiale attiva nello sviluppo di soluzioni per la sicurezza  degli accessi di utenti privilegiati, si tratta tutte di società che stanno adottando tecnologie DevOps e Cloud al fine di favorire al propria trasformazione digitale.

In proposito, CyberArk ha pubblicato la ricerca “The CISO View: Protecting Privileged Access in DevOps and Cloud Environments” che suggerisce come proteggere  gli accessi ad applicazioni DevOps e al Cloud da parte di utenti privilegiati.

Sulla base delle esperienze dirette avute in proposito da parte di un esteso ed esaustivo panel di CISO appartenenti a aziende di dimensioni mondiali, il report si è posto l’obiettivo di fornire utili consigli ai membri dei team dediti alla sicurezza aziendale fine di aiutarli a valutare efficacemente i rischi in cui possono incorrere gli utenti privilegiati, promuovere la collaborazione tra  gli sviluppatori delle applicazioni e stabilire le priorità per proteggere i processi DevOps, senza per questo diminuirne  la produttività dei team nello sviluppo del software e delle applicazioni.

CyberArk, la pipeline per la protezione delle credenziali

CyberArk, la pipeline per la protezione delle credenziali

L’iniziativa Ciso View

Il report fa parte dell’iniziativa CISO View e include i contributi dei manager  di organizzazioni leader dei rispettivi mercati e settori che adottano metodologie e strumenti DevOps, tra cui American Express Company, American Financial Group, Banca asiatica di sviluppo, Carlson Wagonlit Travel, CIBC, GIC Private Limited, ING Bank, Lockheed Martin, NTT Communications, Orange Business Services, Pearson, Rockwell Automation e Starbucks.

Una cosa che si evidenzia nel report è che le strategie di sicurezza dovrebbero affronta seriamente il problema dell’accesso privilegiato e il rischio in una inadeguata protezione dei segreti e delle credenziali di questa tipologia di utenti aziendali critici per quanto concerne  gli ambienti DevOps.

Il fattore critico è però che nonostante il tema sia ampiamente condiviso ben il 73% delle organizzazioni intervistate nella realizzazione del report 2018  “CyberArk Global Advanced Threat Landscape”  non ha posto in atto una adeguata strategia per affrontare la sicurezza nell’accesso privilegiata ad ambienti DevOps.

Il rapporto, realizzato dalla società indipendente di ricerca Robinson e come accennato sponsorizzato da CyberArk. riassume cinque raccomandazioni chiave basate sulle esperienze dirette del mondo reale dei CISO partecipanti. Tra queste:

  • Trasformare il team di sicurezza in partner DevOps: assicurarsi che i professionisti e gli sviluppatori delle applicazioni per la sicurezza dispongano delle giuste competenze, che sia facile per gli sviluppatori fare la cosa giusta, incoraggiare la collaborazione e adottare metodi DevOps agili nell’ambito della sicurezza.
  • Dare priorità agli strumenti DevOps e infrastrutture: Impostare e applicare policy adeguate per la selezione, la configurazione e il controllo dei tool DevOpss, garantire i privilegi e proteggere e monitorare adeguatamente l’infrastruttura.
  • Stabilire requisiti aziendali per la protezione di credenziali e segreti: Gestire centralmente i segreti, estendere le capacità di controllo e monitoraggio, eliminare le credenziali dagli strumenti e dalle applicazioni e sviluppare moduli di codice riutilizzabili.
  • Adattare i processi di test delle applicazioni:– Integrare test automatici del codice, costringere gli sviluppatori a risolvere i problemi di sicurezza usando un approccio “break the build”.
  • Valutare i risultati dei programmi di sicurezza DevOps: testare le implementazioni delle soluzioni di gestione dei segreti, misurare e promuovere i miglioramenti e istruire i revisori dei conti.

 

Marianne Budnik, CMO di CyberArk

Marianne Budnik, CMO di CyberArk

Il rapporto CISO View mette inevidenza le esperienze e le raccomandazioni dei top manager che adottano in modo sicuro i flussi di lavoro DevOps”, ha dichiarato Marianne Budnik, CMO di CyberArk. “Per le organizzazioni che intraprendono iniziative di trasformazione digitale, non è mai stato più importante come ora l’allineare la sicurezza e le posizioni di rischio attraverso l’adozione di nuovi strumenti e tecnologie. Nella comprensione delle sfide organizzative e operative, i team dediti alla  sicurezza possono indirizzare in modo più efficace discussioni produttive tra team di dirigenti, esperti di sicurezza e sviluppatori “.