Как отдел IT-безопасности может улучшить пользовательский опыт

Юлия Лучкина, региональный директор по работе с партнерами AppDynamics

В современном цифровом мире, где программное обеспечение все больше зависит от облачных и распределенных сервисов, периметр безопасности резко расширился — а это означает, что вопрос обеспечения сохранности данных и надежной среды для пользователей сегодня стоит крайне остро. При этом ужесточать требования безопасности бесконечно нельзя — это отталкивает пользователей.

Безопасность в основе жизненного цикла ПО

IT-специалисты знают, что защита должна быть фундаментальной частью всего цикла создания ПО. Разработчики пользовательского интерфейса и специалисты по IT-безопасности больше не могут работать в отрыве друг от друга. Команды должны объединять свои усилия, чтобы иметь целостное представление обо всем технологическом стеке — именно так они смогут удовлетворять возросшие требования пользователей к производительности.

Согласно результатам исследования Agents of Transformation 2021: the rise of full-stack observability, 96% IT-специалистов осознают негативные последствия отказа от систем, позволяющих составить полное представление обо всех имеющихся IT-ресурсах, в том числе об их производительности и безопасности.

Важно, чтобы специалисты по IT-безопасности своевременно помогали внедрять новейшие достижения, которые улучшат как защиту инфраструктуры, так и взаимодействие с потребителем. Связь безопасности и положительного пользовательского опыта может казаться неочевидной — особенно с учетом разрозненной IT-инфраструктуры во многих компаниях.

Но она есть: чем менее навязчивыми являются требования безопасности ПО, тем приятнее с ним работать. Частые напоминания с просьбами ввести или обновить пароль будут только раздражать. Поэтому перед разработчиками стоит непростая задача найти нужный баланс — достичь его будет гораздо сложнее, если вопросом безопасности пренебрегают уже на первоначальном этапе создания сервиса.

Увы, слишком часто команды IT-безопасности воспринимаются не как новаторы, а как настоящие диверсанты, препятствующие динамичному росту компании. Однако реальная возможность заключается в том, чтобы привлечь таких специалистов к развитию инноваций, которые сделают взаимодействие с приложением удобнее и проще для пользователя.

Оправдывая ожидания конечных пользователей

Потребитель стал требовательнее: в исследовании AppDynamics 61% респондентов отметили, что вообще не потерпят низкой работоспособности. Они хотят работать с высокопроизводительными, постоянно доступными службами и платформами, которым могли бы доверять безопасность своих личных данных.

Клиент, чьи данные утекли из-за нарушения требований безопасности, потеряет доверие к бренду — вернуть его будет нелегко. Поэтому этим вопросом стоит заниматься с самого начала создания продукта. Сотрудничество между UX/UI-отделом и специалистами по IT-безопасности просто необходимо. Если пренебречь этим и не ставить защиту на первое место, то, скорее всего, ошибки будут обнаруживать конечные пользователи, а не команда.

Методология DevSecOps и отказ от прежнего разрозненного подхода

Когда безопасность обеспечивается должным образом, создатели ПО могут эффективнее реагировать на проблемы и вызовы. Методология DevOps, преобладающая при создании программного обеспечения, предполагает объединение усилий разработчиков и операционной группы, что обеспечивает гибкий подход к итерации и развертыванию.

Но тестирование безопасности осуществляется, как правило уже когда основная работа над кодом закончена, что усложняет отладку и требует больше времени для исправления. Поэтому многие считают, что поддержка требований безопасности только замедляет цикл разработки.

DevSecOps — это современный подход, использующий все преимущества DevOps, но обеспечивающий безопасность с самого начала создания ПО. Когда команда безопасности работает вместе с основной, проблемы уязвимостей решаются еще быстрее и часто обнаруживаются еще до того, как они повлияют на конечного пользователя или на бизнес.

Встроенная в архитектуру программного обеспечения защита снижает потенциальную потребность в дорогостоящих и трудоемких исправлениях или обновлении программного обеспечения. Недавний отчет ESG Research показал, что 78% организаций со зрелым подходом к DevSecOps смогли быстрее начать развертывать разработанные ими продукты.

Повышение роли сквозной наблюдаемости технологического стека

Зрелость DevSecOps в значительной степени связана с повышением эффективности совместной работы между командами. Чтобы оптимальнее использовать методологию DevSecOps, все члены команды должны работать вместе, на одной волне, с одним и тем же представлением технологического стека, участвуя в разработке каждого приложения от начала и до конца.

Используя полнофункциональную платформу для сквозной наблюдаемости стека, организация получает всестороннее представление о поведении, производительности и работоспособности не только своих сервисов, но и всей поддерживающей их инфраструктуры.

Специалистам DevOps и специалистам по IT-безопасности больше не придется работать исключительно со своими предметно-ориентированными, разрозненными инструментами, обеспечивающими фрагментарные данные. Сквозной мониторинг всего технологического стека поможет сотрудникам получить единое представление обо всей IT-инфраструктуре, снизить время отклика и сократить время простоя приложений.

Наличие системы, которая объединяет данные о производительности и безопасности, включая угрозы и эксплойты в реальном времени, позволяет командам эффективно решать проблемы, влияющие на качество обслуживания клиентов.

Объединение усилий команды разработчиков, специалистов по безопасности и инженеров по эксплуатации поможет обеспечить высокую надежность системы и предвосхищать ожидания клиентов. Более надежные приложения обеспечивают более качественный пользовательский опыт, способствуя повышению лояльности и доверия клиентов, что определенно принесет пользу бизнесу.

Фото на обложке: Maria Savenko / Shutterstock