Agilität ist das Modewort schlechthin im IT-Bereich. Was als gut gemeinter Versuch zur Verbesserung der Softwarequalität und der Liefergeschwindigkeit begann, wurde in den letzten zwei Jahrzehnten zunehmend als Allheilmittel für alle IT-Probleme missbraucht. Die Methodik legt den Schwerpunkt auf Autonomie, Liefergeschwindigkeit und ein "move fast, fail fast"-Ethos, was jeden CISO zum Grinsen bringt.
Da sich das Agile-Dogma immer weiter ausbreitet, ist es unsere Aufgabe als sachlich denkende Sicherheitsverantwortliche, dagegen anzugehen.
Agent des Wandels oder Agent des Untergangs?
Agiles Vorgehen hat seine Vorteile. Als iterativer Ansatz für die Softwareentwicklung kann er Teams helfen, die Markteinführung zu beschleunigen und Hindernisse zu beseitigen. Er kann besonders effektiv für kleine Organisationen und Teams sein. Aber es ist nicht gut skalierbar und mag keine komplexen heterogenen Umgebungen. Ein gescheitertes Entwicklungsteam lässt sich damit sicherlich nicht in ein effektives Team verwandeln.
Dennoch wird Agile zunehmend als technologieübergreifendes Betriebsmodell übernommen, um die Transformation überall voranzutreiben, vom Helpdesk bis zum Rechenzentrum. Evangelisierende CIOs werden von Unternehmen angestachelt, die die Feinheiten nicht verstehen. Es heißt, dass etwa die Hälfte der Unternehmen seit mindestens drei Jahren agile Methoden für die Transformation einsetzt. Aber ist das immer angemessen?
Einfach nein sagen
Ich habe in der Vergangenheit mit zahlreichen FTSE 100 CIO-Teams zusammengearbeitet, die sagten: "Wir werden agil". In Wirklichkeit meinen sie: "Wir sind jetzt autonom und müssen uns nicht mehr um die Sicherheit kümmern und verzichten auf die Corporate Governance."
Eine weitere klassische Anfrage: "Können Sie mir eine Risikoakzeptanz-/Sicherheitsausnahme gewähren?", was man genauer mit "Können Sie die Sicherheit beeinträchtigen, damit ich meine Agile-Delivery-Ziele erreichen kann" übersetzen könnte: "Können Sie die Sicherheit gefährden, um mir zu helfen, meine Ziele für die agile Bereitstellung zu erreichen?"
Eine angemessene Antwort des CISO würde lauten: "Natürlich, solange Sie bereit sind, die volle Verantwortung zu übernehmen, wenn es schiefgeht."
Sicherheit muss als zwingende funktionale Voraussetzung für jedes Projekt akzeptiert werden. Wir alle wissen, dass es billiger, einfacher und sicherer ist, sie von Anfang an einzuplanen, als sie nachzurüsten. Dennoch ist es erstaunlich, wie viele agile Projekte die "Sicherheitsgenehmigung" als letzte Aufgabe im Sprint haben, was unweigerlich zu Verzögerungen führt.
Die Einhaltung grundlegender Vorschriften ist in der heutigen Bedrohungslandschaft praktisch irrelevant. Stattdessen müssen wir mit leistungsfähigen Tools und gegebenenfalls mit unabhängigen Red Teams testen. CISOs brauchen Tools, die Umgebungen, Fehler und Fehlkonfigurationen genau überwachen können, um das Risiko wirksam zu mindern. Das gesamte Unternehmen muss erkennen, dass ein Produkt erst dann vollständig ist, wenn alle Sicherheitsanforderungen erfüllt sind.
Die Realität ist, dass wir als CISOs das Gewissen der Organisation sind. Damit agile Projekte erfolgreich sind, müssen wir die Dinge vielleicht ein wenig verlangsamen und einige schwierige Fragen stellen. Manchmal müssen wir den dogmatischen Glauben vieler CIOs und ihrer Teams in Frage stellen.
Es ist in Ordnung, der Bösewicht zu sein. Sagen Sie Nein zu Agile, wenn es bessere, vernünftigere Ansätze gibt.
https://www.theregister.com/2021/12/16/move_fast_break_security_why/