Repensando a segurança para o próximo normal – Sob pressão

Views: 359
0 0
Read Time:5 Minute, 16 Second

Ao assumir um compromisso com uma abordagem unificada de segurança e, em seguida, fazer o que é necessário para operacionalizá-la, as organizações podem estabelecer um modelo de segurança melhor para o próximo normal.

Se você vê o COVID-19 como forçando uma mudança abrupta na maneira como as organizações operam ou apenas acelerando tendências que já estavam em andamento, é claro que é improvável que o futuro se assemelhe a grande parte do passado. Desde o aumento do trabalho remoto até o rápido abraço das tecnologias de nuvem e automação, as mudanças que foram feitas estão permitindo novos níveis de flexibilidade operacional que as organizações não vão querer desistir de avançar. O que isso significa para a segurança? Essa é uma pergunta que profissionais de toda a indústria têm tentado descobrir. Se ainda não tem certeza, não está sozinho.

Primeiro, aqui está um pequeno contexto para as mudanças e suas implicações.

O que os profissionais de segurança viram chegando — e o que não fizemos 

A transformação digital não levou os profissionais de segurança de surpresa. DevOps, orquestração, infraestrutura como código, segurança como software, segurança orientada por desenvolvedores — tudo isso está em andamento há anos. Nem todas as organizações estavam totalmente a bordo ainda, mas todos sabíamos que estava no horizonte. Em certo sentido, o maior impacto do COVID-19 tem sido acelerar as coisas, comprimindo de três a cinco anos de transformação digital em uma única primavera e verão.

Mas a pandemia também nos jogou uma bola curva inesperada. Toda organização tem um plano de recuperação de desastres e continuidade de negócios, mas alguns desses cenários contabilizaram que os funcionários não podem entrar em um escritório por longos períodos de tempo, ou por não estarem conectados a um data center. Para muitas organizações, a nuvem de repente se tornou a única maneira de escalar o acesso remoto rapidamente o suficiente para uma força de trabalho em casa. Com a Internet como nova rede corporativa, abrimos enormes novas áreas de risco para aplicações que nunca foram construídas para externalização.

À medida que as organizações tentavam fazer com que esse novo modelo funcionasse, eles não podiam sacrificar o desempenho com uma VPN não escalável, ou para o tráfego de grampos através de infraestrutura legado para chegar à nuvem. Direto para nuvem foi a maneira mais simples de manter as pessoas produtivas, especialmente dada a simplicidade dos aplicativos nativos da nuvem. A desvantagem: desistir do controle sobre a rede — e expor uma vasta superfície de ataque em seus aplicativos e pontos finais.

Aqui estão algumas maneiras de pensar em garantir nossos negócios e a maneira como trabalhamos agora.

Desenvolvimento de uma cultura colaborativa entre operações, desenvolvimento e segurança

A parte mais difícil da mudança de paradigma atual não é técnica — é cultural. No modelo antigo, equipes de operações, desenvolvedores e segurança trabalhavam dentro de seus próprios silos, comunicando-se uns com os outros apenas através de bilhetes de TI. Cada grupo tinha sua própria agenda – muitas vezes competindo com os outros – e tendia a ver os outros grupos mais como uma fonte de problemas do que qualquer outra coisa. A segurança bloqueou a inovação; desenvolvedores jogou segurança ao vento; e as operações apenas tentaram manter as coisas funcionando apesar dos outros.

Mas esse modelo não funcionará no mundo rápido e em constante mudança de DevOps e arquiteturas transitórias. Para manter a velocidade da inovação sem deixar a segurança para trás, essas equipes devem avançar juntas, entendendo o que significa gerenciar riscos em um ambiente dinâmico.

Uma abordagem emergente tem sido a criação das chamadas equipes de transformação digital, um modelo projetado para quebrar barreiras e reunir diferentes stakeholders ao redor da mesa. É claro que essas equipes são tão boas quanto seus membros – e às vezes uma pessoa que é eficaz na liderança de seu próprio grupo não é tão bem sucedida em um contexto interde departamento. Os membros do grupo de transformação digital devem ser membros fundamentais de suas próprias equipes, mas também têm a flexibilidade de entender que seu papel faz parte de um propósito maior compartilhado. Para evitar batalhas contraproducentes, todos devem estar dispostos a vislumbrar a transformação de forma holística, como uma organização unificada.

Tornando a segurança acessível aos desenvolvedores 

Trazendo a tecnologia para o quadro, a mudança para uma cultura mais colaborativa precisa levar em conta as ferramentas que a tornarão bem sucedidas. Esta é uma oportunidade para repensar as ferramentas clássicas de segurança que você implantou. Eles podem apoiar essa mudança, ou foram projetados apenas com equipes siloed em mente? Como você pode capacitar DevOps e equipes de rede a desempenhar um papel significativo na segurança também? Ninguém espera que os desenvolvedores se tornem hackers – eles têm prioridades mais importantes – mas eles são totalmente capazes de entender os fundamentos de segurança, as implicações das lacunas e como garantir a segurança em toda a pilha. Armados com conhecimento e visibilidade de segurança, eles podem assumir mais responsabilidade em uma abordagem de segurança unificada.

Automatizando a segurança no ciclo de DevOps 

A velocidade de desenvolvimento e a eficiência disponíveis através de DevOps e nuvem são muito valiosas para minar com os cronogramas tradicionais. A construção de um pipeline de automação eficaz pode reduzir a carga de trabalho nas equipes de segurança, poupando-as da necessidade de verificar novamente pequenas alterações de produção ou realizar testes manuais. Quando o desenvolvimento correu em ciclos de 12 meses, ter uma equipe de segurança de aplicativos gastando oito semanas em testes — e enviando bugs de volta para processos de remediação de semanas — não parecia tão ruim. Na era da entrega contínua, a segurança precisa estar próxima em tempo real. A automação agora permite testar um aplicativo, sinalizar falhas, corrigi-las e reenviar o código em um único dia. Entender o valor da automação e encontrar formas estratégicas de implantá-la deve ser uma discussão de alto nível.

Em última análise, as organizações precisam entender que essas mudanças amplas na cultura, processo e tecnologia podem levar tempo para serem totalmente implementadas. A evolução começa com uma visão clara e fortes parcerias entre departamentos. Ao assumir um compromisso com uma abordagem unificada da segurança e, em seguida, fazer o que é necessário para operacionalizá-la, as organizações podem estabelecer um modelo de segurança melhor para o próximo normal — e nunca olhar para trás.

FONTE: DARK READING

POSTS RELACIONADOS