W ci\u0105gu ostatnich dw\u00f3ch lat obserwuj\u0119 niepokoj\u0105cy trend w polskich firmach technologicznych: im bardziej staramy si\u0119 zabezpiecza\u0107 nasze systemy, tym bardziej spada efektywno\u015b\u0107 zespo\u0142\u00f3w developerskich. To nie jest teoria – widz\u0119 to na co dzie\u0144 w projektach, z kt\u00f3rymi wsp\u00f3\u0142pracujemy. Firmy, kt\u00f3re kilka lat temu rozwija\u0142y si\u0119 dynamicznie, dzi\u015b ton\u0105 w procedurach, wieloetapowych zatwierdzeniach i kontrolach, kt\u00f3re mia\u0142y chroni\u0107, a w praktyce\u2026 parali\u017cuj\u0105.<\/p>\n
Pami\u0119tam projekt dla \u015bredniej firmy e-commerce, gdzie wprowadzenie nowej funkcjonalno\u015bci zajmowa\u0142o wcze\u015bniej 3-5 dni. Po wdro\u017ceniu „kompleksowej strategii bezpiecze\u0144stwa” ten sam proces rozci\u0105gn\u0105\u0142 si\u0119 do 3-4 tygodni. Zesp\u00f3\u0142 developerski, kt\u00f3ry wcze\u015bniej wprowadza\u0142 10-15 ulepsze\u0144 miesi\u0119cznie, teraz ledwo ko\u0144czy 2-3. A najgorsze? Poziom bezpiecze\u0144stwa nie wzr\u00f3s\u0142 proporcjonalnie do spadku produktywno\u015bci.<\/p>\n
W teorii brzmi logicznie: wi\u0119cej zabezpiecze\u0144 = wi\u0119ksze bezpiecze\u0144stwo. W praktyce obserwuj\u0119 odwrotn\u0105 zale\u017cno\u015b\u0107. Kiedy firmy implementuj\u0105 dziesi\u0105tki narz\u0119dzi bezpiecze\u0144stwa, zesp\u00f3\u0142 przestaje rozumie\u0107, co w\u0142a\u015bciwie chroni i jak. Powstaje iluzja bezpiecze\u0144stwa.<\/p>\n
Przyk\u0142ad z rynku: startup technologiczny z Warszawy wdro\u017cy\u0142 7 r\u00f3\u017cnych system\u00f3w monitoringu, 3 warstwy firewalli i wymaga\u0142 5-stopniowej autoryzacji dla ka\u017cdej zmiany w produkcji. Efekt? Zesp\u00f3\u0142 tak skupi\u0142 si\u0119 na obs\u0142udze tych narz\u0119dzi, \u017ce przesta\u0142 analizowa\u0107 rzeczywiste zagro\u017cenia. Gdy dosz\u0142o do ataku przez nieza\u0142atany b\u0142\u0105d w zale\u017cno\u015bciach NPM (bo proces aktualizacji by\u0142 tak skomplikowany, \u017ce nikt go nie przeprowadza\u0142 regularnie), \u017cadne z tych narz\u0119dzi nie pomog\u0142o.<\/p>\n
Kluczowa obserwacja: Firmy, kt\u00f3re osi\u0105gaj\u0105 najlepsze wska\u017aniki bezpiecze\u0144stwa przy zachowaniu produktywno\u015bci, stosuj\u0105 zasad\u0119 „minimum viable security”. Zamiast 10 narz\u0119dzi maj\u0105 2-3, ale znaj\u0105 je doskonale i potrafi\u0105 wykorzysta\u0107 w 100%.<\/p>\n
To zjawisko widz\u0119 szczeg\u00f3lnie w korporacjach, ale coraz cz\u0119\u015bciej te\u017c w scale-upach. Kiedy procedura wdro\u017cenia nowego kodu wymaga 8 zatwierdze\u0144, 3 przegl\u0105d\u00f3w kodu i 2-dniowego oczekiwania na \u015brodowisko testowe, developerzy zaczynaj\u0105 szuka\u0107 obej\u015b\u0107.<\/p>\n
Realny przypadek z projektu: W firmie fintech zesp\u00f3\u0142 mia\u0142 tak skomplikowany proces deploy, \u017ce developerzy zacz\u0119li wrzuca\u0107 hotfixy bezpo\u015brednio na produkcj\u0119 przez backdoor w panelu administracyjnym. Oficjalnie wszystko by\u0142o zgodne z procedurami, nieoficjalnie\u2026 system bezpiecze\u0144stwa zosta\u0142 ca\u0142kowicie omini\u0119ty przez tych, kt\u00f3rzy mieli go pilnowa\u0107.<\/p>\n
Najskuteczniejsze zespo\u0142y DevSecOps, z kt\u00f3rymi wsp\u00f3\u0142pracujemy, dzia\u0142aj\u0105 na zupe\u0142nie innych zasadach:<\/p>\n
W ci\u0105gu ostatniego roku przeanalizowa\u0142em polityki bezpiecze\u0144stwa w 15 polskich firmach technologicznych. \u015arednia d\u0142ugo\u015b\u0107: 87 stron. \u015aredni czas, jaki developer po\u015bwi\u0119ca na ich przeczytanie: 12 minut (i to optymistycznie).<\/p>\n
Dokumentacja bezpiecze\u0144stwa sta\u0142a si\u0119 \u0107wiczeniem prawnym, a nie narz\u0119dziem edukacyjnym. Zamiast pomaga\u0107, przyt\u0142acza. Zamiast uczy\u0107, zniech\u0119ca.<\/p>\n
W JurskiTech.pl testujemy inne podej\u015bcie: zamiast jednego wielkiego dokumentu, tworzymy:<\/p>\n
Efekt? Zespo\u0142y rzeczywi\u015bcie stosuj\u0105 si\u0119 do zasad, bo je rozumiej\u0105 i widz\u0105 ich sens.<\/p>\n
Po latach pracy z dziesi\u0105tkami firm wypracowali\u015bmy kilka zasad, kt\u00f3re pozwalaj\u0105 zachowa\u0107 bezpiecze\u0144stwo bez parali\u017cowania produktywno\u015bci:<\/p>\n
Zanim kupisz kolejne narz\u0119dzie bezpiecze\u0144stwa, zr\u00f3b prost\u0105 analiz\u0119: jakie s\u0105 3 najwi\u0119ksze rzeczywiste zagro\u017cenia dla Twojej firmy? W 80% przypadk\u00f3w, z kt\u00f3rymi si\u0119 spotykamy, firmy chroni\u0105 si\u0119 przed zagro\u017ceniami, kt\u00f3re s\u0105 ma\u0142o prawdopodobne, ignoruj\u0105c te, kt\u00f3re s\u0105 realne.<\/p>\n
Zamiast mierzy\u0107 liczb\u0119 przeprowadzonych audyt\u00f3w, mierz:<\/p>\n
Najbezpieczniejsze zespo\u0142y, z kt\u00f3rymi pracujemy, to nie te z najwi\u0119cej procedurami, ale te, gdzie:<\/p>\n
W ci\u0105gu najbli\u017cszych 2-3 lat r\u00f3\u017cnica mi\u0119dzy firmami, kt\u00f3re zrozumiej\u0105 t\u0119 zmian\u0119, a tymi, kt\u00f3re b\u0119d\u0105 tkwi\u0107 w starym modelu, b\u0119dzie tylko ros\u0142a. Cyberbezpiecze\u0144stwo przestaje by\u0107 kosztem, a staje si\u0119 konkurencyjn\u0105 przewag\u0105 – ale tylko wtedy, gdy nie blokuje innowacji.<\/p>\n
W JurskiTech.pl pomagamy firmom znale\u017a\u0107 t\u0119 r\u00f3wnowag\u0119. Nie przez wdra\u017canie kolejnych skomplikowanych system\u00f3w, ale przez:<\/p>\n
Najwa\u017cniejsza lekcja z ostatnich lat: Najwi\u0119kszym zagro\u017ceniem dla bezpiecze\u0144stwa Twojej firmy mo\u017ce by\u0107\u2026 Twoja w\u0142asna strategia bezpiecze\u0144stwa, je\u015bli parali\u017cuje ona rozw\u00f3j i zmusza ludzi do szukania obej\u015b\u0107.<\/p>\n
Czas przesta\u0107 traktowa\u0107 bezpiecze\u0144stwo i produktywno\u015b\u0107 jako przeciwnik\u00f3w. W nowoczesnych firmach technologicznych to sojusznicy – pod warunkiem, \u017ce podejdziemy do tematu z g\u0142ow\u0105, a nie z checklist\u0105.<\/p>\n","protected":false},"excerpt":{"rendered":"
Jak nadmierna dba\u0142o\u015b\u0107 o bezpiecze\u0144stwo niszczy produktywno\u015b\u0107 IT: 3 paradoksy W ci\u0105gu ostatnich dw\u00f3ch lat obserwuj\u0119 niepokoj\u0105cy trend w polskich firmach technologicznych: im bardziej staramy si\u0119 zabezpiecza\u0107 nasze systemy, tym bardziej spada efektywno\u015b\u0107 zespo\u0142\u00f3w developerskich. To nie jest teoria – widz\u0119 to na co dzie\u0144 w projektach, z kt\u00f3rymi wsp\u00f3\u0142pracujemy. Firmy, kt\u00f3re kilka lat temu<\/p>\n","protected":false},"author":2,"featured_media":178,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[23,194,195,60],"class_list":["post-179","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-warto-wiedziec","tag-bezpieczenstwo-it","tag-cyberbezpieczenstwo","tag-devsecops","tag-produktywnosc"],"_links":{"self":[{"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/posts\/179","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/comments?post=179"}],"version-history":[{"count":0,"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/posts\/179\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/media\/178"}],"wp:attachment":[{"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/media?parent=179"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/categories?post=179"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/tags?post=179"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}