如今,似乎所有事情都是通过代码来完成的。但是作为代码的法规遵循并不仅仅是一种时尚:它涉及到自动化法规遵循过程,从而使它们变得更加透明,并确保出现的任何法规遵循问题都能迅速得到处理。在今天的节目中,我们的主持人丽贝卡·帕森斯(Rebecca Parsons)与澳大利亚Thoughtworks首席顾问萨蒂扬·阿加瓦拉(Satyam Argawala)就合规作为代码188bet宝金博app下载进行了对话:合规意味着什么、为什么有必要以及从哪里开始。
播客成绩单
丽贝卡·帕森斯:
你好每一个人。欢迎来到思想工场播客。188bet宝金博app下载我叫丽贝卡·帕森斯。我是Thoughtworks的首席技术官,我和Satyam Agarwal188bet宝金博app下载a在一起,我们将讨论治理自动化的一个扩展。在过去,我们已经讨论了与架构相关的治理自动化,今天我们将对它有一点不同的看法。Satyam表示欢迎。你能介绍一下你自己吗?
Satyam《:
谢谢,丽贝卡。我的名字的缎子。我是澳大利亚的思考顾问。188bet宝金博app下载七年前,我在思考的行程中开始作为我们的新加坡办事188bet宝金博app下载处的第一员工之一,我在不同领域的各种客户工作,主要专注于过去七年的金融服务。
丽贝卡·帕森斯:
我们之前讨论这个的时候你说了一个短语,合规就是准则。
Satyam《:
噢,是的。
丽贝卡·帕森斯:
这到底是什么意思?我是说,现在所有东西都是代码。基础设施作为代码,所有这些。符合性是什么意思?
Satyam《:
噢,是的。所有东西都是代码,这几乎成了一种时尚,但我认为代码遵从性实际上是关于我们如何推进敏捷性的边界。在过去的20年里,我们已经成功地更快地部署代码,使我们能够更快地向客户交付价值。但我们开始触及某些界限,我们看到,特别是在受监管的行业,那里有严格的合规要求,在这些行业,比如金融服务,理应如此。他们向客户交付价值的能力被GRC过程或治理风险和法规遵循过程所抑制。GRC合规的上下文中的代码真的旨在让一些这些流程自动化,但也不仅仅是自动化的,但更透明,更确定的,和也在这些过程左移位,这样变更的成本由于合规能够解决任何问题发现早很多。
丽贝卡·帕森斯:
好的,所以我们正在扩大影响范围。我们只是搬到了安全部门,现在我们正在与合规性谈话。
Satyam《:
绝对的。我认为这是必要的,因为当你谈论受监管的行业时,您有责任以您的客户的最佳利益行事。这是关于金融服务,医疗行业和政府的真实。明天,当软件更新必须被推向它们时,自动驾驶汽车将是如此。所以你有人们的生命,人民的钱,人民的生计。您有责任保护这些。因此,必须必须确保遵守这些过程。现在,随着我们在过去二十年中进行的所有技术进步,您希望这些流程与我们今天的软件开发方式一样自动化,因此我们不会减缓对客户的价值交付。人们期待新功能,更多的价值创造功能,作为日常生活的一部分。我们不想停止。
丽贝卡·帕森斯:
但你也不希望它有明显的合规问题,这可能会导致罚款或违约或类似的事情。
Satyam《:
绝对的。你不想伤害你的客户,因为说到底,他们的成功就是你的成功。
丽贝卡·帕森斯:
是的。伟大的。那么你如何将其与Devsecops运动相比进行比较。我们实际上有一个竞争竞争,辩论是否是那个术语是有道理的,但是概念仍在那里,因为我们试图将安全带入折叠。如前所述,我确实在那里看到了一些相似之处。那么你如何通过遵守作为代码的遵守方式来涉及我们试图在这里进行的内容,其中一些目标是Devsecops运动的目标?
Satyam《:
我认为合规的概念作为代码并不是新的,对吗?所以它不是在过去12个月内出生的东西。绝对不是我。至于2014年,2015年有一些领导者在Devops运动中,人们喜欢基因金,谈论DevSecops,还谈论将审计和合规功能带入折叠中。因为只要有你......即使在Devops运动中,如果你把这些原则带到了较大的受监管空间,你仍然必须回答这些问题。你还必须处理GRC功能,无论是谁,无论是敏捷,无论是令人欣喜,无论是云天主的吗?所以你必须与之处理。
Satyam《:
关于如何将这些功能融入到团队中已经有了思想领导。我们今天所处的位置,与五年前不同的是,技术领域已经发生了巨大的变化。我们已经进入了公共云的超自动化周期,实际上,我们的理想流程转移到Terraform,能够以代码的形式管理基础设施、网络和防火墙。这真的改变了游戏的本质。
Satyam《:
我们的部署能力比五年前快了一个数量级,这实际上暴露了GRC功能的瓶颈,在更大的受监管行业。这一点在金融行业表现得最为明显还有另外一个原因因为现任者正在受到挑战。开放银行或开放…新银行的出现无论是英国的Monzo银行,还是德国的N26银行。所有这些新银行都在挑战古老的银行模式。因此,那些被繁重的流程所困住的企业,不仅要应对竞争对手,不仅要更快地为客户提供价值,还要保护自己不被这些金融科技所吞噬。新银行显然比现在灵活得多。
丽贝卡·帕森斯:
你认为这些新的挑战在金融服务的存在,你认为还提供了一个计数器的”这是我们一直在做的,你必须这样做的合规和风险,因为它一直是这么做的。”我的意思是,显然这些其他银行必须有一定程度的合规。他们必须遵守法律。
Satyam《:
绝对的。
丽贝卡·帕森斯:
他们来管理他们的风险,你认为这一点,这一点是这样的推动,“实际上有可能以不同的方式做到这一点,因为这些家伙正在做它”?
Satyam《:
完全正确。我认为,现有公司必须审视整个软件供应链,并找出他们需要优化的地方。对吧?因为正如你所说,挑战者银行正在这么做。他们正在从零开始建造。他们没有180年的历史,也没有100年的历史。所以他们的流程在过去几十年里已经成熟,在职者和他们很舒服。改变是困难的。
Satyam《:
惯性。我们都耐受变化,对吗?但这些挑战的银行,他们进入了一个生态系统,在那里公共云是现实。当较大的银行开始运营时,您必须运行自己的数据中心。对吧?所以你没有新银行的技术进步。例如,Monza Bank公开谈论他们如何在Kubernetes上建立整个银行基础设施。这不是一个较大的银行所拥有的机会。
Satyam《:
所以,显然是一种影响[听不清00:08:38]如果这些银行能够这样做,我们也应该能够做到这一点。所以它表明有些人有足够的动力来做到这一点,但另一方面,金融监管机构也开辟了这样做的门。开放的银行运动是它们的最直接证据了。这个想法需要民主化的想法,因此一旦你对客户的数据丢失了一个铿str声,而客户将在任何地方都有最好的体验,对?因为他们现在可以控制自己的数据。在澳大利亚没有降落,但它很快就会很快,我们已经看到了其他市场的影响。
丽贝卡·帕森斯:
所以我们在监管景观中发生了变化,我们有竞争风景的变化。你已经谈到了一些动机或动力与公共云等kubernetes等事情的变化。即使在传统银行在传统银行中,我们可以做些什么,这是什么,这是什么,这是一个支持这一概念,我们可以做一些像代码的合规性?
Satyam《:
我们有一些进步,例如基础架构作为代码或将我们的应用程序配置定义为代码。我们要做的是,是因为一切都被定义为配置,像打开的策略代理一样的技术,允许您在部署确实删除之前定义策略并测试您的配置。即使在Kubernetes景观中,强制执行这些策略,允许我们表明这些控件的强制执行能力。
Satyam《:
还有其他的技术,如谷歌的二进制授权,它本质上产生加密签名…使用公钥加密产生签名的证明,这反映您预期已经发生的某个进程已经发生了。因此,确保某个过程已经发生,例如,可以是单元测试,也可以是设计评审。因此,在应用代码之前,您所期望的机器参与者或人类参与者的进程实际上已经发生了。
Satyam《:
这基本上是我们改变管理过程,对吗?这有助于治理在改变时,在软件中更改管理。因此,这些技术中的一些人真的融合在一起,为治理代码提供乐高块或构建块。在挑战方面,这些只是工具。您必须将您的组织背景带入缔约方,以实际实现这一现实。这就是挑战的所在,因为每个组织都不同。
Satyam《:
是的,在相同的行业中有一些模式,但是每个组织都以不同的方式对待治理、风险和法规遵循或规则的解释。所以你的组织背景最后。所有这些进步必须结合在一起,使合规成为代码季度的现实。
丽贝卡·帕森斯:
在我看来,这也需要一种特殊的首席合规官或首席风险经理来设想像自动化流程这样的东西在这种情况下可以工作。因为你知道,最终首席合规官负责对组织进行认证。是的,我们是兼容的。所以在我看来,这也是一个巨大的社会变化。就像你说的,组织环境真的很重要。
Satyam《:
我认为组织内部的控制所有者必须参加这个聚会,对吧?例如,如果你考虑安全,你的首席安全官有控制和责任维护组织内的控制。因此,如果您查看变更管理的治理过程,它本质上可以建模为一系列控制点。对于它们中的每一个,您都必须提供一些证据,说明在您想要部署到生产环境以为客户创造价值的更改被批准之前,您是如何满足控制点的。我们必须采用这个过程,如果你想让它自动化,那么所有的控制所有者,他们是在控制点上测量的,并且维护那些控制点必须被授权来帮助做出这个改变。在生产中避免中断的最简单方法是不部署任何东西。对吧?这是最安全的部署。
Satyam《:
因此,同样适用于此。为什么他们会改变十年的旧过程,它有效。它可能是低效的,但它有效。因此,组织领导和本组织内的领导力必须创造文化的环境,因为竞争对手的景观或者您的客户预期不仅在工程部门进入的内容,而且还在GRC功能。所以,像采购一样的事情必须变得更快。像治理和部署这样的事情必须变得更快,他们必须来参加聚会。
丽贝卡·帕森斯:
那么,从成熟度的角度来看,这种方法在哪里?我们做完了吗?
Satyam《:
不,我认为我们还处于炒作周期的早期。这些工具在这个领域中不断成熟,它们仍然是工具,对吧?正如我们之前提到的。模式将开始出现,尤其是当的道路,我们必须开始采取手动流程和取而代之的是这些自动化的过程,你必须把主题问题专家的日常工作和工作性能依赖于提供组织保证,我们会发现差距。
Satyam《:
我们会发现有些事情是做不到的,但我们的想法是即使你能做到80%也不能做到100%,对吧?然后你创建。这和单元测试是一样的,对吧?或自动化测试。你不希望在软件开发生命周期中百分之百,没有人参与。您的qa可以增加测试方面的价值,而自动化测试可能不会。但我们的想法是为他们提供时间,让他们能够这样做。对?
Satyam《:
你希望人类创造他们擅长的价值,机器可能无法提供帮助。但是机器能够帮助占地80%。因此,当我们开始使用这些自动化过程替换手动流程时,我们会发现存在差距,并且可能会在这项技术中失去希望的地方。在编队期间,我们在[听不清00:16:27]中失去希望的方式是在Kubernetes和所有其他集装箱协调师之间。然后将出现模式。组织将与他们的进入最前沿,他们设法如何利用这一点来改善他们的运营。然后我们可以开始进入一个节奏,这实际上变成了......我们开始认为这是因为我们今天采取单位测试。
Satyam《:
没有人会说单元测试是浪费时间,这需要几年的时间才能成为我们软件开发文化的一部分。同样的事情可能需要更长的时间,因为它涉及到很多。它的范围更广,影响也更广。
丽贝卡·帕森斯:
如果出了问题,这可能会被视为对组织存在的威胁。
Satyam《:
绝对的。组织由于变更,由于在合规或风险过程中的失误而破产,特别是服务于数百万客户的大型组织将需要保证这是一种万无一失的方法。
丽贝卡·帕森斯:
那么作为交付方的人你是否有一些特殊的技能来应对风险和合规?这是否与其他功能开发一样,或者你是否需要在开发过程中引入特殊技能?因为你仍然需要把遵从性写成代码。还有一个分析过程就是我们如何将这个特定的遵从过程自动化?这只是另一种软件开发,还是你认为你需要具备更多的专业技能?还是现在说还太早?
Satyam《:
两者都有一点。超过技能,你需要向那些函数带来同情的过程,对吗?所以,与基础设施作为代码相同的方式,您必须向移语携带ops函数的过程,以及如何更好地制作?但我们也可以从那过程中学到什么?所以我认为同样适用于尝试自动化GRC功能。
Satyam《:
我们需要理解这些功能为什么存在,它们带来了什么价值,并且能够说一些这种语言。所以要能说平衡风险和价值创造的语言。我们需要了解其中的一些,并能够帮助我们的同事,他们在[听不清00:19:13]执行这些功能,使他们的生活更容易。因为说到底,这才是重点。
Satyam《:
它是关于让其他人的生活更轻松,无论他们是您组织的一部分还是您的客户。所以我认为同理心,作为软件开发者,我们必须学会同理心。但我认为这是关于良好的软件工程实践,对吗?这并不是一个全新的领域。我们正在把我们在过去几十年里学到的东西,以及我们所开创的运动,如DevOps或Agile,带到下一个层次,把所有这些思想带到那些运动之前一直在帐篷之外的功能上。所以我认为这是未来几年随着这门学科越来越成熟的最重要的事情。
丽贝卡·帕森斯:
因此,我们正在继续扩大自动化的作用,在实际带来真实的系统,解决真实的问题,甚至由于生活改变的问题,为人们,架构治理,安全,治理,现在GRC自动化。这太棒了。
Satyam《:
这是未来。
丽贝卡·帕森斯:
非常感谢你参加我们的节目。
丽贝卡·帕森斯:
对于那些想要参与进来的人,有什么建议吗?除了对服从的关心,还有对那些如果你做错了就会有工作危险的人有一点同情。
Satyam《:
我想,就像我之前提到的,我们必须从小处着手,这可以从基层开始。你不需要一个自上而下的文化改变来真正影响这一点。我们之前谈到的所有技术都是开源的,你可以尝试一下,比如open Policy Agent,它们可以在一个小团队中为你提供真正的价值。
Satyam《:
另一方面是这不仅仅是一个大的组织问题。即使你是一个创业公司,当你部署到生产代码时,你想要有一些治理,因为如果有很少的事情出错,你带有声誉风险。您现在也可以从中获得巨大的价值。所以所有工程师都说,我们会说我们需要把我们的风险帽放在上面并看看我们是否可以改善我们经历的过程。
丽贝卡·帕森斯:
这太棒了。非常感谢Satyam的加入,我们有一个新的S代码添加到这个词汇表中。(相声00:21:53)
Satyam《:
谢谢这么多丽贝卡。
尼尔福特:
在下一集,我们将讨论Gregorio Melo关于使用Closure进行函数式编程的新书。请继续关注。