Tietoturvatyön koordinointi tuotetiimien välillä jaettujen palveluiden osalta
Useamman tuotetiimin (kehitystiimin) käyttäessä jaettua tai keskitetysti suositeltua pilvipalvelua pilviasiantuntijan (pilvitiimin) vastuulla on koordinoida tietoturvatyö tuotetiimien välillä.
Yksinkertaisimmillaan tämä voi olla esimerkiksi tietoturvallinen käyttö- ja kovennusohje tai tietoturvatarkastuksen tarjoaminen tietylle pilvipalvelulle.
Jos useampi tiimi käyttää jaettua palvelua, pilvitiimin vastuulla on koordinoida, etteivät tiimit vahingossa riko toistensa tietoturvaolettamia.
Pilvi-infrastruktuurin parhaiden käytänteiden levittäminen kaikille tiimeille
Pilvi-infrastruktuurin parhaat käytänteet kehittyvät varsin nopeasti ja pilvipalveluntarjoajilla on paljon uusia (tietoturva)palveluita ja materiaalia. Näiden seuraaminen erikseen jokaisen tuotetiimin (kehitystiimin) osalta ei ole välttämättä järkevää.
Pilviasiantuntijan (pilvitiimin) vastuulla on identifioida olennaisimmat ja parhaat käytänteet, esimerkiksi pilvipalveluntarjoajan uudet tietoturvaan liittyvät asetukset ja referenssiarkkitehtuurit ja levittää näistä helposti ymmärrettävää tietoa tuotetiimeille.
Jaettujen tietoturvaan liittyvien palveluiden tarjoaminen
Kaikkia tietoturvaan liittyviä palveluita ei ole tarkoituksenmukaista tuottaa jokaisessa tuotetiimissä (kehitystiimissä), vaikka ne olisivatkin DevOps-tiimejä. Tällaisia ovat esimerkiksi lokien keräyksen tekninen järjestäminen ja palvelunestohyökkäyssuojaus kaikille organisaation palveluille.
Pilviasiantuntijan (pilvitiimin) vastuulla on identifioida ne tietoturvapalvelut, jotka kannattaa tuottaa keskitetysti joko kustannus-, tehokkuus- tai tietoturvasyistä ja tarjota niitä tuotetiimien käyttöön.
Jaetuissa palveluissa on kuitenkin huomioitava, että tuotetiimi ymmärtää oman vastuunsa rajat. Esimerkiksi lokien keräyksessä niiden tekninen keräys voidaan määritellä yhteisesti, mutta lokien sisältö ja niiden tulkintaohje esimerkiksi SOC:n käyttöön ovat edelleen tuotetiimien vastuulla, koska ne ovat palvelukohtaisia.