ส่วนที่ 6: บทนำ

I นบทก่อนหน้านี้ เราได้พูดถึงการทำให้งานไหลอย่างรวดเร็วตั้งแต่การ commit จนถึงการ release รวมถึงการสร้าง feedback flow แบบตอบสนองซึ่งกันและกัน เราได้สำรวจพิธีกรรมทางวัฒนธรรมที่ช่วยเร่งการเรียนรู้ขององค์กรและการขยายสัญญาณความล้มเหลวเล็กๆ ที่ช่วยให้เราสร้างระบบการทำงานที่ปลอดภัยยิ่งขึ้น

ในภาค VI นี้ เราจะขยายกิจกรรมเหล่านี้ต่อไป เพื่อให้เราไม่เพียงบรรลุเป้าหมายของ Development และ Operations เท่านั้น แต่ยังบรรลุเป้าหมายด้าน Information Security ไปพร้อมกัน ช่วยให้เราสร้างความมั่นใจในระดับสูงเกี่ยวกับความลับ (confidentiality) ความถูกต้อง (integrity) และความพร้อมใช้งาน (availability) ของบริการและข้อมูลของเรา

แทนที่จะเพิ่มความปลอดภัยให้กับผลิตภัณฑ์ของเราเมื่อจบกระบวนการ เราจะสร้างและผสานการควบคุมด้านความปลอดภัย (security controls) เข้าไปในงานประจำวันของ Development และ Operations เพื่อให้ความปลอดภัยเป็นส่วนหนึ่งของงานของทุกคนในทุกวัน ในอุดมคติแล้ว งานเหล่านี้ส่วนใหญ่จะถูกทำให้เป็นอัตโนมัติและนำไปไว้ใน deployment pipeline ของเรา นอกจากนี้ เราจะเสริมแนวทางปฏิบัติแบบ manual การยอมรับ และกระบวนการอนุมัติด้วยการควบคุมแบบอัตโนมัติ โดยพึ่งพาการควบคุมเช่นการแยกหน้าที่ (separation of duties) และกระบวนการอนุมัติการเปลี่ยนแปลงน้อยลง

โดยการทำให้กิจกรรมเหล่านี้เป็นอัตโนมัติ เราสามารถสร้างหลักฐาน (evidence) ได้ตามต้องการเพื่อแสดงว่าการควบคุมของเราทำงานได้อย่างมีประสิทธิภาพ ไม่ว่าจะต่อผู้ตรวจสอบบัญชี (auditors) ผู้ประเมิน (assessors) หรือใครก็ตามที่ทำงานใน value stream ของเรา

ในที่สุด เราจะไม่เพียงปรับปรุงความปลอดภัยเท่านั้น แต่ยังสร้างกระบวนการที่ตรวจสอบได้ง่ายขึ้นและยืนยันถึงประสิทธิภาพของการควบคุม เพื่อสนับสนุนการปฏิบัติตามข้อกำหนดทางกฎหมายและสัญญา (compliance with regulatory and contractual obligations) เราทำสิ่งนี้โดย:

• ทำให้ความปลอดภัยเป็นส่วนหนึ่งของงานของทุกคน

• ผสานการควบคุมเชิงป้องกัน (preventative controls) เข้ากับ shared source code repository ของเรา

• ผสานความปลอดภัยเข้ากับ deployment pipeline ของเรา

• ผสานความปลอดภัยเข้ากับ telemetry ของเราเพื่อให้สามารถตรวจจับและกู้คืนได้ดีขึ้น

• ปกป้อง deployment pipeline ของเรา

• ผสานกิจกรรม deployment เข้ากับกระบวนการอนุมัติการเปลี่ยนแปลง (change approval processes) ของเรา

• ลดการพึ่งพาการแยกหน้าที่ (separation of duty)

เมื่อเราผสานงานด้านความปลอดภัยเข้ากับงานประจำวันของทุกคน ทำให้มันเป็นความรับผิดชอบของทุกคน เราจะช่วยให้องค์กรมีความปลอดภัยที่ดีขึ้น ความปลอดภัยที่ดีขึ้นหมายความว่าเราสามารถปกป้องและจัดการข้อมูลของเราได้อย่างรอบคอบ หมายความว่าเรามีความน่าเชื่อถือและมีความต่อเนื่องทางธุรกิจด้วยการพร้อมใช้งานมากขึ้นและสามารถกู้คืนจากปัญหาได้ง่ายขึ้น เรายังสามารถเอาชนะปัญหาด้านความปลอดภัยก่อนที่มันจะก่อให้เกิดผลเสียหายร้ายแรง และสามารถเพิ่มความสามารถในการคาดเดา (predictability) ของระบบของเราได้ และที่สำคัญที่สุด เราสามารถรักษาความปลอดภัยของระบบและข้อมูลของเราได้ดีกว่าที่เคย