Serangan dunia maya (cyber) terjadi dengan kecepatan yang sangat tinggi sehingga perlindungan terhadap mereka harus dimulai ketika developers pertama kali membangun perangkat lunak. Snyk telah membangun bisnis yang berkembang dengan menyediakan alat yang memungkinkan pendekatan baru ini berhasil dalam skala besar.
Dalam episode podcast McKinsey on Start-up yang di release pada tanggal 14 Juni 2022 yang lalu, Guy Podjarny, salah satu pendiri, presiden, dan chairman Snyk, penyedia terkemuka alat keamanan yang mengutamakan developers, menyampaikan pentingnya memberikan peran utama kepada Developers dalam Cybersecurity.
Â
Pekerjaan sebagai profesional keamanan siber (cybersecurity professionals) menjadi begitu menantang dan kompleks saat ini, sehingga pekerjaan menjaga aset dan melindungi dari kerentanan semakin perlu dimulai ketika developers pertama kali membangun perangkat lunak dan aplikasi. Perpindahan ke keamanan yang mengutamakan pengembang ini merupakan perpanjangan dari perubahan yang lebih luas yang dikenal sebagai DevOps, sekarang praktis menjadi standar industri, di mana dunia pengembangan dan operasi yang dulunya tertutup bekerja sama untuk membangun dan mengulangi dengan kecepatan yang jauh lebih cepat dan produktif.
Snyk, penyedia platform terkemuka alat keamanan yang mengutamakan pengembang, adalah salah satu perusahaan yang mendorong pendekatan ini, yang dikenal sebagai DevSecOps. Guy Podjarny merupakan salah satu Snyk pada tahun 2015, bersama dengan Assaf Hefetz dan Danny Grander. Guy sebelumnya menjabat sebagai CTO Akamai setelah membeli startup pertamanya, sebuah usaha kinerja web bernama Blaze.io. Di awal karir Guy, dia membangun produk keamanan aplikasi web di perusahaan rintisan dan juga di IBM.
Guy mengundurkan diri dari peran CEO pada tahun 2019, pindah sebagai eksekutif perangkat lunak veteran (dan anggota dewan dan investor Snyk). Snyk telah berkembang pesat akhir-akhir ini, dari kurang dari 100 karyawan beberapa tahun yang lalu menjadi hampir 1000. Tahun lalu, Snyk mengumpulkan lebih dari $800 juta (termasuk pendanaan baru dan sekunder), sehingga totalnya meningkat menjadi $1,4 miliar, dengan valuasinya melonjak menjadi $8,5 miliar.
Dalam McKinsey on Start-up, Guy Podjarny meyampaikan bagaimana Snyk sebagai perusahaan security yang mengutamakan developers. Tesis Snyk adalah bahwa ketika dunia menjadi lebih digital dan berpikiran DevOps, itu bergantung pada tim independen yang dapat bergerak cepat dan tidak menunggu siapa pun sehingga dapat mempercepat iterasi dari menulis sebaris kode hingga mengirimkannya ke pelanggan dan mengadaptasi apa yang pelanggan lakukan dan kembali.
Sebagai sebuah industri, keamanan tetap cukup terpusat karena berbagai alasan. Jadi, karena organisasi telah merangkul DevOps dan pengembangan modern, itu dengan cepat menjadi hambatan.
Industri DevOps tidak dapat melanjutkan keamanan yang bertentangan dengan arus bisnis. Pada dasarnya, agar keamanan bekerja dengan baik di dunia DevOps yang bergerak cepat, pengguna memerlukan pengembang untuk menerimanya.
Untuk mengatasi kondisi tersebut, adalah tujuan didirikannya Snyk dengan menciptakan alat pengembang yang menangani keamanan, yang terasa alami dan menyenangkan bagi developers untuk digunakan.
Awalnya Snyk menjadi alat pengembang, perusahaan developers pertama, bukan perusahaan keamanan siber (cybersecurity). Lantas, apa perbedaan keduanya?
Perbedaan antara developers dan cybersecurity bagaikan siang dan malam. Gagasan "geser ke kiri," agar keamanan berjalan lebih awal dalam prosesnya, bukanlah konsep baru. Apa yang telah dilakukan sebelumnya adalah mengambil alat auditor dan mencoba memasangnya ke lingkungan pengembangan, menjalankannya dalam pembuatan atau menjalankannya dalam lingkungan pengembangan terintegrasi (IDE=Integration Development Environment).
Merangkul sisi dev mengarah ke perusahaan yang sama sekali berbeda, go-to-market yang berbeda, branding yang berbeda, dan tentu saja produk dan UX yang berbeda, dengan perbedaan utama antara bagaimana perusahaan akan membangunnya untuk petugas keamanan, agar auditor berjalan lebih awal. prosesnya, versus bagaimana perusahaan akan membangunnya untuk pengembang.
Contoh inti dari kedua hal tersebut adalah bahwa developers menyukai kedalaman sementara orang-orang keamanan membutuhkan keluasan. Jadi, jika mengembangkan JavaScript, developers tidak peduli apakah mendukung PHP (Personal Home Page) atau tidak. Jika developers membuat kode dalam JavaScript, tidak peduli apakah alat yang dimaksud mendukung bahasa lain. Develpers menginginkan kedalaman, sementara petugas keamanan (security) membutuhkan keluasan. Orang-orang keamanan dihadapkan pada dunia risiko yang terfragmentasi yang sudah memiliki banyak jenis risiko yang berbeda dan sulit untuk diperdebatkan.
Petugas cybersecurity tidak dapat meminta setiap direktur teknik menggunakan alat yang berbeda untuk mengamankan penggunaan sumber terbuka mereka atau menemukan kerentanan dalam kode mereka. Mereka membutuhkan alat untuk mendukung sebagian besar tumpukan di organisasi mereka.
Kondisi tersebut merupakan perbedaan utama antara developers dan keamanan. Pada gilirannya, hal tersebut mendorong sejumlah besar perbedaan antara seperti apa perusahaan perkakas developers dan seperti apa keamanannya. Misalnya, hampir semua perusahaan alat pengembang yang sukses dipimpin oleh produk dan melayani diri sendiri karena keputusan ada pada resolusi tim. Mereka bekerja pada tumpukan tertentu, dan yang berhasil adalah dari bawah ke atas. Mereka membangun seperti itu sementara praktis tidak ada perusahaan keamanan yang dipimpin oleh produk karena keputusannya cenderung luas. Mereka cenderung membutuhkan mandat yang mencakup lebih banyak organisasi. Dan itu adalah keputusan yang lebih besar.
Ada sejuta perbedaan lainnya. Melalui pencapaian yang dimiliki Snyk, yakni mampu menyediakan kemampuan keamanan, tetapi membangunnya mirip dengan cara kerja alat developers dengan fokus utama untuk mendapatkan adopsi devevelopers. Kemudian, Snyk membangun bisnis yang berkembang dengan menyediakan alat yang memungkinkan pendekatan baru ini berhasil dalam skala besar.
Kiat Guy Podjarny dengan Snyk memberikan Developers peran utama dalam Cybersecurity akan dibahas pada tulisan selanjutnya.
Sumber bacaan:
- McKinsey on Start-ups Podcast, 14 Juni 2022
- https://www.mckinsey.com/industries/technology-media-and-telecommunications/our-insights/giving-developers-a-leading-role-in-cybersecurity?cid=other-eml-dre-mip-mck&hlkid=bcb3c2c0d98d4881bd6243edfe701c3c&hctky=11757159&hdpid=8ca7a079-bfe3-4e06-9efd-654f6e77413a
- McKinsey Daily Read publishing@email.mckinsey.com, 24 Juni 2022
MERZA GAMALÂ
- Pengkaji Sosial Ekonomi Islami
- Author of Change Management & Cultural Transformation
- Former AVP Corporate Culture at Biggest Bank Syariah
