0
0
Em meio a tempos voláteis e previsões sombrias para 2023, a adoção de código baixo/sem código (LCNC) continua a crescer rapidamente. Uma previsão recente publicada pela empresa de análise Gartner prevê que os mercados de baixo código crescerão 20% em 2023, com o desenvolvimento do cidadão em particular crescendo 30%. Enquanto as unidades de negócios continuam investindo tudo no LCNC , as equipes de segurança estavam principalmente fora do circuito até não muito tempo atrás. Essa realidade está mudando rapidamente à medida que o LCNC se torna uma infraestrutura crítica para os negócios e os desenvolvedores de negócios criam aplicativos críticos. Agora as equipes de segurança precisam garantir que as coisas foram construídas corretamente . Esta é uma receita para o conflito.
Como equipes de segurança, não podemos cobrir tudo, por isso fazemos escolhas difíceis e nos concentramos no essencial para os negócios. O subproduto disso é que algumas unidades de negócios se acostumam a trabalhar sem nós. Em muitos casos, tudo bem. Eles cuidam de seus negócios diários; a segurança não está envolvida porque eles não estão fazendo nada arriscado ou crítico o suficiente. Mas então, um dia, eles conseguem criar aplicativos críticos. Eles fazem barulho e são recompensados com a atenção da organização. Claro, isso também vem com maior atenção à segurança.
Embora esta seja uma situação desafiadora, é importante notar o fato de que é um bom problema ter! Sua organização foi bem-sucedida e você está tendo a chance de criar um pilar de segurança totalmente novo do zero e introduzir novos tipos de desenvolvedores para trabalhar com a equipe de segurança. Você tem a oportunidade de estabelecer as coisas da maneira certa. Mas como?
1. Comece com o aprendizado
Primeiro, entenda os desafios fundamentais de segurança que o LCNC representa. Saiba por que outras equipes de segurança estão preocupadas com o LCNC e concentre sua atenção nos riscos mais comuns a serem visados primeiro. Ao se familiarizar com os riscos específicos do LCNC, você chegará à conversa com as equipes de negócios munido de conhecimentos altamente relevantes para os desafios que estão enfrentando e poderá falar em uma linguagem que eles entenderão e se relacionarão. Você também poderá focar e direcionar a conversa para os riscos mais relevantes para sua organização.
2. Entenda o Contexto de Negócios
Reconheça o fato de que as unidades de negócios foram bem-sucedidas em trazer essa nova tecnologia e usá-la para gerar valor significativo. Certifique-se de que eles estejam cientes de que seu envolvimento é em si um reconhecimento de seu sucesso.
Leve o tempo necessário para aprender o que eles têm feito até agora. Como eles estão abordando as operações e o gerenciamento das plataformas? Como eles lidam com o gerenciamento do ciclo de vida do aplicativo? Embora eles possam ter sido bem-sucedidos com determinação e perseverança, quando os problemas se tornarem complexos o suficiente, eles encontrarão áreas em que sua experiência como profissional de segurança seria extremamente útil. Aprender sobre suas operações e dificuldades pode ajudá-lo a encontrar maneiras pelas quais eles realmente podem usar sua orientação para resolver problemas críticos ou mudar um conceito fundamental que erraram.
3. Identifique oportunidades para ajudar
Depois de identificar as áreas em que eles podem usar seu conhecimento, pense em como você e a organização de segurança podem ajudar a enfrentar esses desafios. Você poderia oferecer uma avaliação de risco de segurança? Você poderia ajudá-los a descobrir as configurações? Gerenciamento de permissões?
Ao identificar as áreas em que pode ajudar, você também identificará as áreas em que poderá aplicar controles. Esses desafios, que são muito mais bem enfrentados por uma equipe central de segurança com as habilidades certas, ajudarão a empresa a resolver problemas que os impedem de avançar, além de permitir que você coloque proteções no lugar.
4. Mapear pontos críticos de risco
Enquanto aprende sobre os desafios existentes, você também deve construir uma compreensão independente dos riscos atuais em seus ambientes. Use modelagem de ameaças e avaliações de segurança para obter visibilidade dos riscos de segurança no ambiente existente e em seus aplicativos. Revise os processos de desenvolvimento existentes e avalie sua adesão ao SDLC seguro. Identifique e trate casos que precisam de atenção urgente ou riscos de segurança que podem facilmente se manifestar em danos significativos. Com uma distinção clara das áreas onde o risco é mais agudo, você poderá focar sua atenção — e dos líderes empresariais — e obter resultados mais rapidamente.
5. Trace um caminho para a capacitação
Todo mundo se preocupa com a segurança e, em particular, em uma grande organização, as pessoas estão sempre preocupadas, mesmo que não façam nada a respeito. As equipes de negócios que trouxeram e desenvolveram novas tecnologias sem depender de equipes centrais de TI/segurança sabem que há algum risco envolvido. Eles podem até ter feito escolhas para restringir o acesso ou impedir o uso deste ou daquele recurso útil da plataforma, com medo do que poderia acontecer. Uma maneira clara de conquistar o coração e a mente dos negócios é ajudá-los a desbloquear o uso. Permita que mais pessoas criem aplicativos ou usem recursos avançados e potencialmente arriscados. Com sua experiência em segurança, você pode avaliar o risco de segurança, identificar controles de compensação e fornecer um caminho para que eles expandam o uso, elevando seu senso de responsabilidade e diminuindo o medo de um problema de segurança.
Seguindo em frente juntos
A mudança nunca é fácil e causará atrito. Com o LCNC continuando a crescer e os negócios dependendo cada vez mais de aplicativos produzidos fora da TI, por um lado, e os hackers direcionados aos negócios, por outro, as equipes de segurança devem assumir seu papel como um guia que pode ajudar as equipes de negócios a inovar sem introduzir novas tecnologias de segurança. riscos.
Ao reservar um tempo para considerar a perspectiva do negócio, seu sucesso anterior e seus desafios, as equipes de segurança serão capazes de construir confiança mútua e articular um caminho a seguir que demonstre uma vantagem para a inovação de negócios e garantias de segurança.
FONTE: DARK READING