0
0
Nesta entrevista para a Help Net Security, Dan Tucker, vice-presidente sênior da Booz Allen e líder das soluções de engenharia de dados e nuvem da empresa para serviços ao cidadão, fala sobre os esforços de transformação digital do governo, desafios de segurança e oferece dicas para CISOs.
Quais são os desafios de segurança mais significativos que os governos enfrentam ao passar pela transformação digital?
Com relação à segurança, um dos desafios mais prevalentes para as agências do governo federal é encontrar o equilíbrio certo entre a necessidade de atender rapidamente às necessidades da missão com as ameaças cada vez mais sofisticadas de estados-nação adversários e outros atores mal-intencionados.
A capacidade do governo de compartilhar dados rapidamente, obter insights e convertê-los em tomada de decisão continua a melhorar, mas a expansão do volume de dados e dos métodos de transferência também aumenta a superfície de ataque digital do nosso país. Líderes experientes em missão e tecnologia entendem que enfrentar esse desafio raramente é resolvido apenas por meio de uma solução técnica.
Por exemplo, as abordagens de arquitetura de confiança zero (ZTA) estão se mostrando benéficas e ganhando força rapidamente nos dias de hoje, no entanto, não há software ou tecnologia que se possa comprar ou implantar para tornar uma agência “compatível com ZTA”.
Um esforço maduro de transformação digital é focado em segurança, exigindo uma integração de desenvolvimento de aplicativos contemporâneos, configuração de infraestrutura e padrões de gerenciamento de dados, bem como uma cultura de colaboração confiável em toda a comunidade de proprietários de missões e provedores de tecnologia – esse é o trabalho árduo.
Os CISOs governamentais lidam com a burocracia em um nível diferente do que existe no setor privado. Como isso afeta seus esforços de transformação digital?
Em geral, os CISOs têm cartas incrivelmente desafiadoras, mas estou otimista sobre como o setor público está abordando a segurança cibernética como parte dos esforços de transformação digital. É verdade que, historicamente, o governo tem sido mais lento na adoção de metodologias de desenvolvimento e padrões arquitetônicos contemporâneos, mas nos últimos anos vimos uma adoção acelerada de padrões DevSecOps , mais serviços credenciados pelo governo sendo fornecidos pelos Provedores de Serviços em Nuvem e outros fornecedores de tecnologia, bem como o compartilhamento das melhores práticas entre o governo.
A Arquitetura de Referência Técnica de Segurança na Nuvem desenvolvida pela Agência de Segurança Cibernética e Infraestrutura é um bom exemplo disso. O processo necessário para obter um credenciamento de Autoridade para Operar (ATO) ou FedRAMP para tecnologia, serviços e aplicativos emergentes no setor público pode ter parecido burocrático em sua forma legada, mas ultimamente estou vendo mais padrões como “contínuo -ATO”, a reutilização de imagens confiáveis e reforçadas e um processo FedRAMP simplificado trazem mais velocidade a esse espaço. Isso permite que CISOs e CIOs tragam capacitadores de tecnologia para a missão de forma mais eficaz e eficiente e, por sua vez, acelerem a transformação da missão no setor público.
Como as soluções de nuvem seguras permitem que as organizações governamentais se tornem mais ágeis?
A agilidade é um produto da capacidade de compartilhar informações confiáveis e, em seguida, tomar rapidamente decisões de priorização e agir com base nesses dados, de maneira colaborativa e bem comunicada. Quando os dados são seguros, confiáveis e facilmente acessíveis, eles permitem a agilidade dessa organização ou equipe. Vimos alguns exemplos inspiradores disso durante o auge da pandemia, quando o governo trabalhou de forma colaborativa e em uma velocidade sem precedentes para atender às necessidades da missão de nossos concidadãos.
As informações relacionadas à disponibilidade de vacinas, taxas de transmissão e status de pagamento de ajuda foram atualizadas e disponibilizadas aos cidadãos em um ritmo e com uma experiência de usuário que antes se associava apenas às empresas comerciais mais avançadas. Dito isso, você não pode enfatizar o suficiente os componentes culturais necessários para impulsionar a agilidade – a organização precisa de um propósito compartilhado, funções e responsabilidades complementares, adoção de comportamentos comuns e práticas e processos bem arraigados.
Portanto, embora o compartilhamento seguro de dados, as infraestruturas de nuvem contemporâneas e os padrões de desenvolvimento modernos sejam importantes, eles não permitirão agilidade significativa sem as mudanças culturais mencionadas em uma organização.
O governo não pode se dar ao luxo de interromper as operações. Que conselho você daria aos CISOs e CIOs que precisam trabalhar juntos no planejamento de grandes iniciativas de transformação digital?
Não importa se estamos falando de um serviço comercialmente disponível ou de uma capacidade de missão crítica, a tolerância à interrupção do serviço ou até o tempo de inatividade planejado estendido durante a transformação digital é baixo em 2022 e, sinceramente, acredito que essas expectativas sejam justas. Combinando quase quinze anos de experiência em migração para a nuvem em todo o setor com mais de vinte anos de adoção de desenvolvimento ágil e avanços nas tecnologias de gerenciamento de dados, os dias da página “em manutenção” em um site ou aplicativo devem ter ficado para trás.
Semelhante a qualquer mudança organizacional complexa, a chance de sucesso aumenta e diminui menos com a tecnologia e mais ainda com os componentes fundamentais da adesão antecipada das partes interessadas, objetivos bem compreendidos, papéis e responsabilidades claros, comunicações oportunas e centradas em dados e feedback e aprendizado.
Do ponto de vista da tecnologia, sempre haverá a fase de “todos os braços no convés” ou “sala de guerra” que leva a uma transição do sistema ou um marco significativo de entrada em operação, mas se os componentes operacionais mencionados anteriormente estiverem em vigor até nesse ponto, raramente há um problema que não possa ser resolvido com relativa facilidade.
FONTE: HELPNET SECURITY