Total pada tahun 2025 pembuatan data global akan mencapai 181 zettabytes. Bagi perusahaan, data tersebut adalah aset, yang memungkinkan mereka memanfaatkan berbagai platform teknologi untuk menciptakan pengalaman pelanggan yang sangat dipersonalisasi yang menimbulkan loyalitas dan menarik bisnis baru. Namun, pengalaman ini bergantung pada infrastruktur cloud yang menggunakan mode keamanan bersama. Di situlah letak risikonya, dan itu meningkat seiring pertumbuhan teknologi untuk menggabungkan pasukan baru pengembang warga menggunakan platform kode rendah dan tanpa kode.
Memahami dan Mengatasi Pola Pikir Warisan
Gartner memperkirakan bahwa pada tahun 2025, 70% aplikasi perusahaan akan dibuat dari platform kode rendah dan tanpa kode seperti Salesforce dan ServiceNow. Menanggapi dengan pola pikir berbasis warisan adalah cara yang pasti untuk membuat lebih dari dua pertiga aplikasi perusahaan gagal.
โPola pikir warisanโ adalah deskripsi yang tepat untuk masalah yang mengganggu infrastruktur. Ini mengingatkan kita pada anak-anak kaya dan manja yang sepenuhnya bergantung pada pekerjaan yang dilakukan dan orang-orang yang datang sebelum mereka. Itu bukan cara yang baik untuk membangun warisan, dan itu cara yang sama buruknya untuk membangun sistem.
Ketika Anda memiliki pola pikir lama, Anda berasumsi bahwa infrastruktur sudah diatur. Platformnya aman, dan keamanannya terpasang. Kepercayaan diasumsikan hanya karena teknologi sudah ada sebelum administrator.
Pola pikir warisan itu mengganggu platform kode rendah dan tanpa kode. Pengguna mengandalkan keamanan platform untuk membawa mereka melalui seluruh infrastruktur perusahaan. Sebaliknya, keamanan platform tersebut seharusnya hanya berlaku untuk platform tersebut.
Katakanlah developer Salesforce membuat program penugasan otomatis untuk prospek baru. Mereka menggunakannya dalam Salesforce untuk penugasan internal, dan tidak masalah. Mereka dapat mengandalkan keamanan platform. Mereka memutuskan untuk mengembangkannya untuk meningkatkan otomatisasi. Mereka menghubungkan program itu ke CRM eksternal seperti ServiceNow, SAP, atau Oracle. Pola pikir pewarisan mengambil alih: Salesforce aman. ServiceNow, SAP atau pihak ketiga aman.
Jadi, Salesforce + pihak ketiga = aman.
Tapi, ada banyak hal yang tidak diketahui dalam tanda tambah itu. Bagaimana Anda menghubungkan program internal yang dibuat di Salesforce dengan aman dan patuh ke program eksternal yang dibuat di platform pihak ketiga? Ada banyak ruang untuk kesalahan dalam karakter tunggal itu.
Dan itu hanya satu koneksi. Banyak program yang dibuat di Salesforce menyentuh ratusan lainnya. Itu ratusan hal yang tidak diketahui diperlakukan seperti tanda tambah yang dijelaskan di atas oleh orang-orang yang memiliki sedikit atau tidak ada pengalaman pengembangan.
Satu-satunya solusi adalah mengembalikan pengembangan itu ke bumi dengan kembali ke prinsip DevSecOps.
Menetapkan Framework DevSecOps
DevSecOps kerangka telah ditulis, ditulis ulang, dan ditulis lagi sejak konsep itu dibuat. Tidak perlu menemukan kembali roda saat memasangnya, terutama saat SAFECode dan Aliansi Keamanan Cloud telah membangun enam pilar:
- Tanggung jawab kolektif: Keamanan adalah tanggung jawab setiap orang dalam perusahaan โtetapi orang tidak dapat memenuhi standar yang tidak mereka ketahui. Pimpinan harus ditugaskan untuk mendorong kebijakan keamanan siber dan memastikannya disebarluaskan ke seluruh perusahaan.
- Kolaborasi dan integrasi: Pengetahuan harus dibagi dan ditransfer. Setengah alasan mengapa perusahaan jatuh ke pola pikir lama adalah karena setiap orang yang mengetahui sistem lama telah tiada. Berbagi pengetahuan terus menerus membantu menghilangkan masalah ini.
- Implementasi pragmatis: Implementasi pragmatis terkait dengan pengalaman pengembang. Proses yang sulit, biasa, dan berat tidak diikuti lama. Keamanan harus dimasukkan ke dalam praktik pengembangan โ yaitu, setiap baris kode memerlukan baris pengujian. Perusahaan berkinerja tinggi akan melangkah lebih jauh dengan menggunakan alat untuk mengotomatiskan setiap baris kode pengujian.
- Kepatuhan dan pengembangan: Persyaratan kepatuhan harus memandu proses pengembangan dengan cara yang tidak memungkinkan pengembang menyimpang darinya. Pengembang untuk lembaga keuangan, misalnya, akan bekerja pada platform yang dirancang agar sesuai dengan Gramm-Leach-Bliley Act. Pengembang tidak harus mengetahui seluk beluk tindakan agar patuh karena mereka dibangun ke dalam platform.
- Otomasi: Tugas yang dapat diprediksi, berulang, dan bervolume tinggi harus diotomatisasi bila memungkinkan untuk menghilangkan beban dari pengembang dan mengurangi risiko kesalahan manusia.
- Memantau: Infrastruktur cloud modern berubah dan tumbuh. Sangat penting untuk melacaknya โ idealnya, melalui beberapa bentuk orkestrasi yang memungkinkan pandangan sekilas dari berbagai interkoneksi.
Di sebuah rendah atau tanpa kode lingkungan, pilar-pilar ini tidak sesederhana yang diharapkan. Orang-orang yang menggunakan alat ini sering kali adalah pakar bisnis dengan sedikit pemahaman tentang dasar-dasar DevSecOps.
Menyatukan Orang, Proses, dan Teknologi
Penggunaan platform low-code dan no-code sebenarnya dapat membantu menutup kesenjangan keterampilan ini. Karyawan ingin mempelajari keterampilan baru. Perusahaan dapat mendukungnya dengan membuat kerangka kerja DevSecOps yang berfokus pada manusia, proses, dan teknologi.
- Proses: Dalam lingkungan tanpa kepercayaan, pengembang kode rendah dan tanpa kode tidak perlu khawatir membuat koneksi yang membahayakan integritas sistem karena mereka tidak mampu melakukannya. Mereka tidak memiliki otoritas dasar di luar sistem mereka yang terisolasi.
- orang: Budaya akuntabilitas berbeda dengan budaya menyalahkan. Akuntabilitas berarti individu merasa nyaman untuk mengungkapkan masalah atau kesalahan karena fokusnya adalah pada masalahnya, bukan pada orangnya.
- Teknologi: Teknologi adalah satu-satunya penghalang terbesar untuk penerapan prinsip DevSecOps yang tepat karena berada di luar kendali pengembang. Mereka harus menggunakan apa yang diberikan organisasi kepada mereka. Jika teknologi itu tidak berfungsi, pengembang akan menemukan solusi yang tidak aman dan tidak aman. Intinya, teknologi menjadi salah satu generator IT bayangan besar.
Kita hidup di masa yang menyenangkan untuk perkembangan. Semakin banyak orang memiliki kesempatan untuk membangun perangkat lunak, menguji strategi, dan meningkatkan nilai bisnis. Tetapi dengan itu datanglah risiko. Perusahaan yang mencari cara untuk mengalihkan risiko tersebut ke teknologi akan menjaga perkembangan mereka tetap membumi sambil memberikan ruang untuk dijelajahi.
