Набрать квалифицированный персонал для работы в качестве инструкторов по безопасности. Среди разработчиков в компании следует выявить тех, кто интересуется вопросами безопасности. Им предлагают стать добровольцами на роль инструктора по безопасности. При наборе кандидатов чётко определите, какие навыки требуются для этой роли.
Инструкторы должны хорошо владеть софт-скиллами, быть коммуникаторами и лидерами, которые готовы сотрудничать с разработчиками, рассказывая им о передовых методах обеспечения безопасности и важности безопасного программирования. Они также должны обладать минимальными базовыми навыками в области безопасности: базовое моделирование угроз, тестирование безопасности приложений и реагирование на инциденты. И они должны быть всегда готовы обновлять свои навыки и учиться новому.
Обучить инструкторов. Это не просто курсы по безопасности. При создании учебных материалов обсуждаются реальные проблемы, с которыми сталкиваются разработчики. На основании этой информации и создаются курсы. Кроме того, руководители I&O могут внедрить программу поощрения за пройденные этапы обучения и развитие навыков. Например, присваивать «пояса» по безопасности, чтобы обозначить уровень знаний и прогресс инструктора или разработчика. Как в примере на иллюстрации, которую мы уже публиковали ранее:
Познакомить инструкторов с сотрудниками отдела ИБ для согласования действий. Вообще, руководители DevOps с руководителями ИБ должны совместно продемонстрировать ценность программы коучинга для обоих отделов (например, снижение нагрузки на команду безопасности, расширение знаний о методах обеспечения безопасности в командах, использующих DevOps). Можно начать с выбора посредников (брокеров) — сотрудников отдела безопасности, обладающих знаниями также о разработке и DevOps. Они будут взаимодействовать с инструкторами.
Посредники выступают в роли консультантов с глубокими знаниями, которые помогают инструкторам, чтобы те не утонули в новой работе. Всё-таки это не основные их рабочие обязанности. Эти две группы должны встречаться на регулярной основе (например, еженедельно), обсуждать вопросы безопасности и рекомендации по критическим продуктам.
Материально поощрять инструкторов (предполагается, что кроме этой роли у них есть ещё и основные рабочие обязанности). Выделите ресурсы для поддержки их карьерного роста. Руководители I&O должны проверять их работу, оценивать прогресс и понимать цели, которые те ставят перед собой, а также проверять эффективность работы инструкторов с разработчиками. Если инструкторы демонстрируют заметные улучшения в процессах, стоит поощрять их за это в соответствии с планом карьерного роста. Например, отправлять на конференции для обучения или спонсировать получение сертификатов. Кроме того, руководители должны незамедлительно выражать устную и письменную благодарность разработчикам, обнаружившим проблемы безопасности.
Поощрять открытое общение между экспертами по безопасности, сотрудниками отделов I&O и разработчиками. Можно запланировать для них в рабочем графике регулярные встречи, чтобы они могли обсудить свои вопросы, поработать над проблемами и развить определённые навыки. Разработчики могут использовать это время для получения информации о безопасной архитектуре приложений, для планирования требований безопасности. Всё происходит в конструктивной обстановке, при личном общении.
