Takřka bez ohledu na velikost nebo zaměření podniku to dnes závisí na sladěnosti a spolupráci technologických týmů – bezpečnostního, IT a vývojového. Pokud tento vztah nefunguje, pokud jsou vývojáři brzděni v kreativitě, pokud unikají z aplikací data zákazníků, pokud infrastruktura a platformy nejsou odolné proti výpadkům, je podnik vážně ohrožen. Může dojít k poškození jeho reputace, k právním komplikacím a regulatornímu postihu, demotivaci zaměstnanců a problémům s fluktuací nebo narušení konkurenceschopnosti.

Obzvlášť bezpečnost musí sloužit zbytky podniku a být v souladu s jeho potřebami. Moderní, distribuované organizace potřebují, aby zabezpečení bylo „všudypřítomné“ - nejen vestavěné do všeho, ale vystavěné odlišným způsobem. Způsobem odpovídajícím postpandemickému sprintu k digitální transformaci, která rovněž výrazně zvýšila bezpečnostní rizika.

Rozsah, v jakém je nutné zlepšit vztah mezi bezpečnostními, vývojovými a IT týmy, je značný. Podle našeho nového výzkumu, který jsme uskutečnili společně s poradenskou společností Forrester, považuje 61 % IT týmů a 52 % vývojářů bezpečnost za brzdu inovací, zatímco pouze jeden z pěti vývojářů vůbec chápe, jaká bezpečnostní pravidla má dodržovat. Vyšší manažeři se sice dnes více zaměřují na vztah mezi vývojem a bezpečností, ale každý třetí zatím nespolupracuje efektivně nebo nepodniká kroky k posílení spolupráce.

Odkud bariéry pramení? Proč přetrvávají negativní vztahy a kde je v takové situaci místo pro bezpečnost? Co by se mělo změnit, aby bylo možné zajistit bezpečnost ve všech částech podniku, podporu inovací, kontrolu a v konečném důsledku úspěch u zákazníků?

Změňte téma debaty

Neexistence společných cílů bezpečnosti, IT a vývoje je dlouhodobý problém, který ještě zhoršuje potenciální složitost dnešního světa multicloudu a moderních aplikací. Naše studie z nedávné doby ukazuje, že ne všechny složky podniku jsou zaměřené na potřeby zákazníků. Hlavní prioritou IT a bezpečnostních týmů je provozní efektivita (za nejdůležitější ji považuje 52 % dotázaných z obou skupin respondentů). Oproti tomu vývojové týmy kladou největší důraz na zlepšování uživatelské zkušenosti (50 %) – což je pro IT a bezpečnostní týmy až na čtvrtém místě, zatímco prevence narušení bezpečnosti je pro IT a bezpečnostní týmy druhá nejvyšší priorita, avšak až pátá pro vývojáře.

Tento nesoulad je možná pochopitelný – pro vývojáře, kteří mají tendenci být spíše osamoceni, je prioritou koncový zákazník. Jejich úspěch závisí na tom, zda dokáží co nejrychleji vytvořit atraktivní aplikaci, s níž bude jejich firma na trhu první: přijít s něčím novým velkým dříve než ostatní. Až když existuje fungující produkt, teprve poté se začne řešit bezpečnost. To je dnes považováno za příliš pozdě.

I to však vyvolává více otázek než odpovědí, především otázku společného jazyka. Například „uživatel“ je pro programátora koncový zákazník, tedy ten, od koho firmě přitéká zisk, zatímco pro IT a bezpečnost je „uživatel“ tradičně interní. A co je zcela zásadní, pro každou z těchto tří složek znamená „bezpečnost“ něco jiného. Programátoři uvažují v relacích bezpečnosti aplikací (možných chyb v kódu) a podpory bezpečných komunikačních protokolů (HTTPS). Pro IT se bezpečnost týká infrastruktury a životního cyklu technologií. A pro byznys bezpečnost znamená bezpečnost práce, zabezpečení budov a ochranu dat. Jde tedy o to, že nejsou sladěné priority, ale ani terminologie, která se k vyjádření priorit užívá, takže si jednotlivé týmy vzájemně nerozumí. Diskuse o sladění priorit nejen přichází pozdě, ale každý při ní hovoří odlišným jazykem.

Problém vnímání bezpečnosti

Dále je tu problém vnímání bezpečnosti – tu vývojové a IT týmy mnohdy považují za překážku. V mnoha případech není bezpečnost dostatečně začleněná do zbytku podniku – ani z personálního ani z technologického hlediska. V důsledku toho se více než čtvrtina vývojářů nijak neúčastní rozhodování o bezpečnostních politikách, ačkoli v mnoha ohledech významně ovlivňují jejich práci.

Na tom je potřeba pracovat a změnit pohled na bezpečnost jako na technologie. Zabezpečení musí podporovat značku, posilovat důvěru – mezi zaměstnanci i zákazníky – a optimalizovat poskytování aplikací. Musí odstranit falešnou volbu mezi inovacemi a kontrolou.

Takže namísto bezpečnosti jako dodatečné nadstavby při vývoji aplikací, kde řeší různé nedostatky a látá díry, případně „stojí v cestě inovací“, je nutná větší míra spolupráce. To pomůže k tomu, aby bezpečnost byla v podniku všudypřítomná a zároveň neviditelná. Již nesmí být považována za něco speciálního, ale musí být od samého počátku součástí inovačního cyklu. A především musí být brána za součást zákaznické zkušenosti. Vždyť můžete mít krásný, silný a úsporný vůz, ale pokud mu nefungují brzdy, neplní svůj účel.

Cesta vpřed

Má-li se taková změna uskutečnit, musí začít shora. Kdo rozhoduje o bezpečnosti, IT a vývoji softwaru? Praxe může být různá v závislosti na organizační struktuře podniku, rozdělení odpovědností na úrovni představenstva apod. Bezpečnost byla vždy spjatá s IT. Nemělo by však docházet k posunu priorit směrem k vývoji, pryč od firewallů k tvorbě bezpečných aplikací, které se stávají strategickým prvkem obchodních inovací? V dnešní době bývá nevyjasněné vlastnictví procesů, což nijak nepřispívá ke strategickému sladění dotčených týmů.

Sladění priorit a jejich soustředění pod jedním vrcholovým manažerem – například ředitelem pro digitální transformaci nebo podobnou funkcí – bude klíčové pro užší spolupráci týmů v rámci jednotné vize, strategie a její realizace. To podpoří i sdílení a sladění klíčových ukazatelů výkonnosti (KPI). A pomůže to také společně prezentovat svoji práci zbytku podniku – kvůli financování, přesvědčení interních zákazníků, aby užívali jejich produkty a řešení, a kvůli změně dynamiky z reagování na změny na jejich aktivní zavádění.

To v důsledku pomůže posunout podnikovou kulturu potřebným směrem. Není to pouhý osvětový proces, kterým se sladí terminologie a koncepty, ale změna, kterou se týmy sjednotí na společné prioritě: potřebách a zájmech zákazníka. Pomoci při tom mohou principy jako celkové řízení kvality (TQM) – systematický přístup zajišťující dlouhodobý úspěch díky spokojenosti zákazníků. TQM začíná zaměřením na zákazníka a následně zavádí principy, jako je plná angažovanost zaměstnanců, procesní myšlení, průběžné zlepšování, rozhodování na základě faktů a komunikace. Zejména funkce bezpečnosti by se zde mohla více sladit s ostatními a být začleněna do cyklu vývoje, kde by sloužila rozvoji podniku. Vývoj a zavádění aplikací se zdokonalují, bezpečnost by měla následovat.

Směřování k budoucímu stavu věcí

Důležité je, že si lidé uvědomují, že společné priority a angažovanost týmů je cestou vpřed. Více než polovina (53 %) respondentů očekává, že do dvou nebo tří let dojde ke sloučení bezpečnostních a vývojových týmů, a počet těch, kdo se domnívají, že sloučení stojí v cestě překážky, poklesne v několika příštích letech ze 49 % na 28 %. 42 % respondentů očekává, že se v horizontu dvou až tří let bezpečnost více začlení do procesu vývoje. Panuje i širší shoda na tom, že sladění týmů pomáhá v podniku odstraňovat bariéry mezi jednotlivými funkcemi (71 %) a tvořit bezpečnější aplikace (70 %) a usnadňuje zavádění nových postupů a technologií (66 %).

Lidé si také uvědomují, že bezpečnost znamená mnohem více než pouhou pojistku. Může pomoci vývojovým týmům dosáhnout jejich cílů nejbezpečnějším a nejefektivnějším způsobem namísto bránění inovacím a stavění překážek, které by bylo nutné obcházet.

Pro vedení firem by mělo být prioritou tento pokrok podporovat a rozvíjet. Vztah mezi těmito třemi týmy má na podniky zásadní dopad a jejich sladěnost vede k odolnějším aplikacím, lepší schopnosti reagovat na podmínky na trhu a trvalému zajišťování compliance. Ano, bezpečnost musí přehodnotit své procesy s ohledem na týmy, které má podporovat. Ale IT, bezpečnost a vývoj musí společně směřovat k „budoucímu stavu“, kde zaměření na zákazníka na základě systematického přístupu a jednoznačné odpovědnosti na úrovni nejvyššího vedení sjednocuje technologické týmy, které tak mohou přispívat k rozvoji podniku.

Vlastimil Horák Autor článku je country manager společnosti VMware pro Českou republiku a Slovensko.