Repensando a segurança para o próximo normal – sob pressão
Ao se comprometer com uma abordagem unificada à segurança e, em seguida, fazer o que é necessário para operacionalizá-la, as organizações podem estabelecer um modelo de segurança melhor para o próximo normal.
Quer você veja o COVID-19 forçando uma mudança abrupta na forma como as organizações operam ou apenas acelerando as tendências que já estavam em andamento, é claro que o futuro provavelmente não se parecerá muito com o passado. Do aumento no trabalho remoto à rápida adoção de tecnologias de nuvem e automação, as mudanças que foram feitas estão permitindo novos níveis de flexibilidade operacional que as organizações não vão querer abrir mão de seguir em frente. O que isso significa para a segurança? Essa é uma questão que profissionais de toda a indústria têm tentado resolver. Se você ainda não tem certeza, não está sozinho.
Primeiro, aqui está um pequeno contexto para as mudanças e suas implicações.
O que os profissionais de segurança viram – e o que não
fizemos A transformação digital não pegou exatamente os profissionais de segurança de surpresa. DevOps, orquestração, infraestrutura como código, segurança como software, segurança orientada para o desenvolvedor – tudo isso está em andamento há anos. Nem todas as organizações estavam totalmente a bordo ainda, mas todos sabíamos que estava no horizonte. Em certo sentido, o maior impacto do COVID-19 foi acelerar as coisas, comprimindo três a cinco anos de transformação digital em uma única primavera e verão.
Mas a pandemia também nos lançou um obstáculo inesperado. Cada organização tem um plano para recuperação de desastres e continuidade de negócios, mas poucos desses cenários explicaram que os funcionários não puderam ir a um escritório por longos períodos de tempo ou por não estarem conectados a um data center. Para muitas organizações, a nuvem de repente se tornou a única maneira de escalar o acesso remoto com rapidez suficiente para uma força de trabalho doméstica. Com a Internet como a nova rede corporativa, abrimos novas áreas de risco enormes para aplicativos que nunca foram desenvolvidos para externalização.
À medida que as organizações tentavam fazer esse novo modelo funcionar, elas não podiam sacrificar o desempenho com uma VPN não escalonável ou reduzir o tráfego por meio da infraestrutura legada para chegar à nuvem. Direto para a nuvem era a maneira mais simples de manter as pessoas produtivas, especialmente devido à simplicidade dos aplicativos nativos da nuvem. O lado negativo: abrir mão do controle da rede – e expor uma vasta superfície de ataque em seus aplicativos e endpoints.
Aqui estão algumas maneiras de pensar sobre como proteger nossos negócios e a maneira como trabalhamos agora.
Desenvolvendo uma cultura colaborativa entre operações, desenvolvimento e segurança
A parte mais difícil da atual mudança de paradigma não é técnica – é cultural. No modelo antigo, as equipes de operações, os desenvolvedores e a segurança trabalhavam em seus próprios silos, comunicando-se entre si apenas por meio de tíquetes de TI. Cada grupo tinha sua própria agenda – muitas vezes competindo com os outros – e tendia a ver os outros grupos mais como uma fonte de problemas do que qualquer outra coisa. Segurança bloqueada inovação; os desenvolvedores jogaram a segurança ao vento; e as operações apenas tentavam manter as coisas funcionando apesar dos outros.
Mas esse modelo não funcionará no mundo rápido e em constante mudança de DevOps e arquiteturas temporárias. Para manter a velocidade da inovação sem deixar a segurança para trás, essas equipes devem avançar juntas, compreendendo o que significa gerenciar riscos em um ambiente dinâmico.
Uma abordagem emergente tem sido a criação das chamadas equipes de transformação digital, um modelo projetado para quebrar barreiras e reunir diferentes partes interessadas em torno da mesa. É claro que essas equipes são tão boas quanto seus membros – e às vezes uma pessoa que é eficaz na liderança de seu próprio grupo não tem tanto sucesso em um contexto interdepartamental. Os membros do grupo de transformação digital devem ser membros centrais de suas próprias equipes, mas também devem ter flexibilidade para entender que sua função faz parte de um propósito compartilhado mais amplo. Para evitar batalhas contraproducentes por turnos, todos devem estar dispostos a visualizar a transformação de forma holística, como uma organização unificada.
Tornando a segurança acessível aos desenvolvedores
Trazendo a tecnologia para o cenário, a mudança para uma cultura mais colaborativa precisa levar em conta as ferramentas que a tornarão bem-sucedida. Esta é uma oportunidade de repensar as ferramentas clássicas de segurança que você implantou. Eles podem suportar essa mudança ou foram projetados com apenas equipes isoladas em mente? Como você pode capacitar DevOps e equipes de rede para desempenhar um papel significativo na segurança também? Ninguém espera que os desenvolvedores se tornem hackers – eles têm prioridades mais importantes – mas são inteiramente capazes de compreender os fundamentos da segurança, as implicações das lacunas e como garantir a segurança em toda a pilha. Armados com conhecimento de segurança e visibilidade, eles podem assumir mais responsabilidades em uma abordagem de segurança unificada.
Automatizando a segurança no ciclo DevOps
A velocidade de desenvolvimento e a eficiência disponíveis por meio do DevOps e da nuvem são valiosas demais para serem prejudicadas com os cronogramas tradicionais. Construir um pipeline de automação eficaz pode reduzir a carga de trabalho das equipes de segurança, poupando-as da necessidade de verificar novamente as pequenas alterações de produção ou realizar testes manuais. Quando o desenvolvimento era executado em ciclos de 12 meses, ter uma equipe de segurança de aplicativos gastando oito semanas em testes – e enviando bugs de volta para processos de correção de semanas – não parecia tão ruim. Na era da entrega contínua, a segurança precisa estar próxima do tempo real. A automação agora possibilita testar um aplicativo, sinalizar falhas, corrigi-las e reenviar o código em um único dia. Compreender o valor da automação e encontrar maneiras estratégicas de implantá-la deve ser uma discussão de alto nível.
Em última análise, as organizações precisam entender que essas mudanças amplas na cultura, no processo e na tecnologia podem levar tempo para serem totalmente implementadas. A evolução começa com uma visão clara e fortes parcerias entre departamentos. Ao se comprometer com uma abordagem unificada à segurança e, em seguida, fazer o que é necessário para operacionalizá-la, as organizações podem estabelecer um modelo de segurança melhor para o próximo normal – e nunca olhar para trás.
Fonte: 12