¿Factor de autobús de malabares y separación de tareas en un equipo pequeño?

24

Soy el desarrollador principal de un equipo de cinco personas. Sólo tres son codificadores. Y solo los codificadores son lo suficientemente técnicos como para hacer un despliegue de nuestra aplicación en un servidor de producción.

Nuestra aplicación es bastante exitosa y hemos logrado algunos clientes de alto perfil. Estos clientes normalmente nos someten a auditorías de seguridad bastante brutales. En su mayor parte, pasamos estas auditorías. Pero un área que nos hace tropezar es la separación de deberes. p.ej. Quieren que una persona / equipo maneje los entornos de desarrollo, mientras que una persona / equipo maneja los entornos de producción. Y, además, a veces incluso quieren que la persona que hace el trabajo (como empujar a la producción) y que supervisa / supervisa / apruebe el trabajo, también sean roles separados.

El problema de tener solo tres personas de tecnología es que no podemos mantener nuestro factor de bus mientras mantenemos nuestra separación de los deberes que algunos clientes requieren.

¿Pensamientos? Soluciones? ¿Ha enfrentado problemas de recursos similares?

p.s. Intenté etiquetar estos devops y el factor de bus, pero no tengo suficientes representantes para crear nuevas etiquetas.

    
pregunta Neil N 03.09.2014 - 16:56
fuente

2 respuestas

19

Personalmente no he tenido que tomar esta decisión, aunque sí trabajo en un entorno donde se implementa tal separación de tareas.

¿Es usted el propietario de este negocio o está trabajando para otra persona?

La razón por la que pregunto es porque de manera realista se trata de una decisión comercial. (salvo la perspectiva infosec obvia de "¡SEPARAR TODAS LAS COSAS!")

Para encontrar la respuesta, debe preguntarse a sí mismo / propietario / CFO esta pregunta:

  

Es el costo de agregar más empleados para implementar la separación de tareas   menos que la cantidad de negocios que se perderán para los clientes que   Requerir tal, o puede aumentar el costo del software vendido para cubrir   Los salarios de más empleados sin perder negocios adicionales debido.   al aumento de precios?

Si es así, entonces puedes agregar más empleados sin ponerte en números, financieramente.

    
respondido por el k1DBLITZ 03.09.2014 - 17:55
fuente
15

Bienvenido al mundo de la seguridad informática empresarial. Como se ha enterado, es fácil para los departamentos de seguridad hacer recomendaciones que indiquen vagamente las "mejores prácticas". Es mucho más difícil implementar esto en el terreno. Pero puede abordar esto y obtendrá algunos beneficios.

Implementaciones con un solo clic : las nuevas versiones deben empaquetarse para que se puedan instalar fácilmente. Puedes combinar esto con el despliegue automático usando algo como Puppet. En ese momento, la implementación debe ser lo suficientemente simple como para dejarlo en manos de un colega menos técnico. Un beneficio de este enfoque es que evita errores de implementación. El desarrollador puede probar la implementación completa en la preproducción.

Correlación de registros : haga que sus servidores inicien sesión en un servidor de correlación de registros central, utilizando algo como Splunk. Puede dar a su equipo de desarrollo acceso de solo lectura a este sin violar la separación de tareas. También puede realizar un monitoreo centralizado de la CPU, la memoria, el disco, etc. Idealmente, tendrá suficiente análisis automatizado de los registros para que un colega menos técnico pueda juzgar si las cosas están bien o no.

Automatizar tanto como puedas. El mantenimiento de rutina debe ser programado y programado. Es posible que también desee escribir ciertas respuestas a problemas, como reiniciar un servidor de aplicaciones.

Acceso de emergencia : a veces, su aplicación se interrumpirá de manera que necesite que un desarrollador inicie sesión para vivir y corregirlo. Esto es aceptable incluso con la separación de deberes. Probablemente desee un proceso que parezca: "el operador de operaciones identifica el fallo, solicita asistencia" "el administrador aprueba el acceso de emergencia" "el operador de operaciones emite una contraseña temporal".

Si hace todo eso, puede usar a sus dos colegas menos técnicos como personal de operaciones. Su factor de bus (buen término por cierto) no se ve afectado seriamente porque ha perdido la habilidad del rol de operaciones.

¿Está ejecutando su aplicación en las instalaciones o en la nube? Le será más fácil cumplir con este requisito utilizando una plataforma como servicio en la nube.

    
respondido por el paj28 03.09.2014 - 21:34
fuente

Lea otras preguntas en las etiquetas