0
0
Os líderes de segurança vêm alertando há anos sobre a escassez contínua de habilidades de segurança cibernética. Mesmo que os ataques cibernéticos se tornem cada vez mais sofisticados e frequentes, as equipes de defesa corporativa estão tendo mais problemas para preencher as vagas abertas . O problema pode parecer insuperável, mas não deveria ser.
Uma solução que poucas empresas consideraram é desvincular a equipe de segurança das operações. Considere o quão menos assustador seria o problema da lacuna de habilidades se a segurança corporativa reduzisse seu foco para governança , supervisão, supervisão e auditoria, enquanto empurrasse a implementação e o gerenciamento de sistemas de segurança para as equipes operacionais que os utilizam .
Tal mudança seria dramática. A função de segurança corporativa diminuiria substancialmente, tanto em termos de pessoal quanto no número de tarefas específicas pelas quais é responsável, mas se tornaria mais estratégica — e mais eficaz.
A abordagem menos eficiente de hoje
A equipe de segurança típica hoje se envolve em todos os tipos de atividades operacionais. Por exemplo, quando o grupo de desenvolvimento está criando um novo aplicativo, a equipe de segurança pode se envolver nos detalhes do design, nas configurações das tecnologias subjacentes e na determinação de quais usuários podem acessar os servidores de desenvolvimento.
Mas a equipe de segurança centralizada pode não ter imediatamente o conhecimento operacional para tomar essas decisões. Eles podem ter que dedicar um tempo significativo para entender os impulsionadores de negócios por trás do aplicativo, a estrutura e a experiência dos indivíduos da equipe de desenvolvimento, etc.
Os gerentes da equipe de desenvolvimento já possuem a experiência necessária em aspectos operacionais para montar sua solução. A equipe de segurança corporativa tem experiência nos controles necessários para evitar ataques específicos. Por que não permitir que cada grupo se especialize em sua competência central ?
Como Funcionaria
Como eu imagino, a equipe de segurança poderia assumir a responsabilidade de estabelecer, em um nível abstrato, os controles necessários para proteger o aplicativo, tanto durante o desenvolvimento quanto após o lançamento. Mas eles poderiam transferir a responsabilidade para o grupo de desenvolvimento para construir esses controles. A equipe de desenvolvimento pode decidir de quais softwares e configurações de segurança eles precisam, definir políticas de segurança específicas e determinar as permissões do usuário. Em seguida, a equipe de segurança corporativa pode inspecionar o ambiente de desenvolvimento — e o aplicativo resultante — para garantir que os controles solicitados tenham sido implementados e estejam funcionando conforme o esperado.
Essa abordagem colocaria a tomada de decisão detalhada nas mãos das pessoas mais próximas a essas decisões. A equipe de segurança precisaria saber um pouco sobre as tecnologias que o grupo de desenvolvimento usa, mas, principalmente, eles só precisariam ser especialistas em controles que estabelecessem expectativas para os resultados de segurança que os grupos de operações deveriam alcançar.
Considere o controle de acesso. Como as pessoas devem ser autenticadas para entrar no ambiente de desenvolvimento da empresa? Que credenciais são suficientes para provar que são quem dizem ser? Faz sentido para o grupo de segurança corporativa possuir a governança de alto nível do controle de acesso, mas eles precisariam aprender muito sobre o ambiente de desenvolvimento e a equipe de desenvolvimento para responder a essas perguntas com eficácia. Enquanto isso, as pessoas da equipe de desenvolvimento já possuem esse conhecimento. Deixá-los tomar as decisões nas ervas daninhas das políticas de controle de acesso de seu grupo é apenas lógico.
Os processos de desenvolvimento são um exemplo. A equipe de segurança que estou imaginando não estaria envolvida na construção de redes; eles forneceriam requisitos de controle para a equipe de rede e, em seguida, garantiriam que esses requisitos fossem seguidos. Em uma configuração de nuvem, a equipe de segurança pode definir expectativas de alto nível e, em seguida, fazer uma verificação de inspeção, procurando por anomalias. Mas essa seria a extensão de seu envolvimento nas decisões de segurança na nuvem.
O que essa mudança significaria
Obviamente, minha visão exigiria uma reestruturação total da TI. De certa forma, isso levaria as atividades de segurança mais para onde estavam há um quarto de século. Quando a segurança geralmente não era uma função separada, as empresas ensinavam as melhores práticas de segurança a especialistas operacionais em toda a organização. A experiência era amplamente distribuída, mas a segurança era apenas uma pequena fatia das responsabilidades de trabalho de qualquer pessoa.
A consolidação das atividades de segurança em uma função centralizada criou especialistas especializados no assunto. Esses profissionais altamente qualificados e difíceis de encontrar devem se concentrar em definir a direção geral da estratégia de segurança da empresa, ditar os controles necessários para evitar certos tipos de ataques e fornecer governança e supervisão para garantir que esses controles sejam eficazes.
Gostaria de ver o setor reavaliar se outras responsabilidades mais operacionais – manutenção de firewall de rotina ou configuração de aplicativos SaaS, por exemplo – são apropriadas para o grupo de segurança central. Acho que essas tarefas são mais adequadas para os indivíduos que estão conectando, arquitetando, projetando, implementando e configurando os sistemas da empresa. Eles têm o conhecimento necessário para tomar decisões corretas sobre a segurança de sistemas e processos com os quais estão intimamente familiarizados.
Uma estrutura organizacional que transfere as decisões de segurança para os grupos de operações pode reduzir algumas das responsabilidades diárias da equipe de segurança. No entanto, também elevaria o nível de tomada de decisões da equipe, liberaria tempo da equipe para atividades mais estratégicas e forneceria uma solução organizada para o desafio perpétuo de encontrar profissionais com credenciais específicas de segurança.
FONTE: DARK READING