Il y a quelques semaines, l'équipe de sécurité de PagerDuty s'est entretenue avec Guy Podjarny depuis Le développeur sécurisé pour une discussion sur notre philosophie de sécurité et un aperçu de certains des outils que nous utilisons.

L'une de nos philosophies directrices au sein de l'équipe de sécurité de PagerDuty est que nous sommes ici pour travailler avec tous les membres de l'organisation, et pas seulement pour dire « non » aux gens. Les équipes de sécurité peuvent souvent être considérées comme une force de blocage au sein des entreprises technologiques, les employés étant réticents à engager des équipes de sécurité car ils savent déjà que la réponse qu'ils recevront est « Non ». Nous avons consciemment adopté une approche différente ici chez PagerDuty. Nous avons discuté avec Guy de notre philosophie et de la manière dont notre travail en tant qu'équipe de sécurité consiste à créer des outils et des politiques qui permettent aux utilisateurs de faire automatiquement ce qu'il faut.

« Nous sommes là pour permettre aux gens de faire facilement ce qu'il faut. »

Nous avons discuté de la manière dont nous travaillons avec d'autres équipes de l'entreprise — de l'ingénierie aux ventes — pour déterminer ce qui doit être accompli pour que le travail soit effectué de manière sécurisée, sans gêner les gens.

L’une des façons dont nous travaillons avec d’autres équipes est par le biais de notre programme de formation à la sécurité interne.

Nous avons adopté une approche différente des programmes de formation standard que nous avons vus et avons développé notre formation en interne sur la sécurité. La formation met l'accent sur l'enseignement de concepts tels que la manière de déchiffrer des mots de passe à tous les employés. En montrant à tout le monde à quel point cela peut être facile, beaucoup de gens ont été ouverts à l'idée des gestionnaires de mots de passe et cela a permis de sécuriser les informations de nos employés, non seulement au travail, mais aussi dans leur vie personnelle en ligne.

Nous discutons de la manière dont la sécurité devient de plus en plus un problème opérationnel et de la manière dont nous commençons à voir les mêmes tendances que celles que nous avons observées dans le passé. Transition d'Ops vers DevOps Il y a quelques années, les problèmes sont différents, mais les leçons sont les mêmes. Nous discutons de la manière dont nous abordons ce terrain en mutation et de nos projets pour l'avenir.

Les outils sont importants, et nous n'avons pas hésité à discuter des différents outils que nous avons utilisés et que nous continuons d'utiliser. Nous racontons comment nous avons mis en œuvre l'authentification à deux facteurs pour SSH à l'aide de Duo et Clés Yubike , comment nous l'avons testé en version bêta avec nos équipes et comment nous avons procédé pour obtenir une solution qui fonctionne bien pour tout le monde. Nous abordons également la manière dont nous utilisons des outils généralement conçus pour les problèmes opérationnels de sécurité, tels que Splunk et Chef. Cependant, tout ne s'est pas passé sans heurts. Guy nous a posé des questions sur les autres outils que nous utilisons et nous avons expliqué certains problèmes que nous avons rencontrés lors de la mise en œuvre de divers outils, et ce qui entre en jeu dans la décision d'utiliser ou non un nouvel outil.

Écoutez notre épisode complet de Le développeur sécurisé : assurer la sécurité de PagerDuty   pour obtenir le scoop complet .

Assurez-vous de suivre The Secure Developer ( @thesecuredev ) et l'équipe de sécurité de PagerDuty : Arup Chakrabarti ( @arupchak ), Rich Adams ( @r_adams ), et Kevin Babcock ( LinkedIn ) pour les dernières mises à jour !