0
0
Foi apenas alguns anos atrás, por volta de 2016 ou 17, que Zane Lackey teve uma conversa que resumiu o desafio de sua vida. Na época, consultor fundador da Signal Sciences, ele estava se reunindo com o CISO e o CIO de um certo cliente da Fortune 500 (ele não diz qual).
Ele se encontrou com o CISO primeiro. Lackey sugeriu uma migração para as nuvens, mas o homem se recusou a ceder. “Não estou permitindo nada disso”, Lackey se lembra dele dizendo. “É tudo inseguro.”
A segunda reunião do dia de Lackey foi com o CIO, que o informou que a migração para a nuvem era “nossa prioridade número 1”. Lacaio deve ter dado ao homem um olhar estranho porque ele riu. “Vejo que você está conversando com o CISO”, disse o CIO. “Nós simplesmente não o convidamos mais para reuniões.”
Lackey, ex-CISO e sócio geral da Andreessen Horowitz (a16z) desde março, é um dos principais defensores do DevOps, a integração das equipes de escrita de código e implantação de código de uma empresa. “As equipes têm prioridades diferentes”, diz ele ao Dark Reading, “mas elas formam um diagrama de Venn. As soluções precisam ajudar a todos, em segurança e tudo mais”.
O maior obstáculo para o tipo de arquitetura que Lackey vive não tem nada a ver com código ou firewalls obsoletos: é a cultura das equipes de segurança e operações em silos , ignorando os processos uns dos outros ou, como os oficiais da Fortune 500 naquele dia, subvertendo ativamente uns aos outros .
Em suas palavras, “A tecnologia é a parte mais fácil. A cultura é a parte mais difícil”.
Os primeiros anos
As rixas antigas e os silos impenetráveis das equipes de negócios digitais devem ser uma dor de cabeça especial para alguém como Lackey, que nunca superou sua alegria de infância em atacar problemas de tecnologia. Lackey cresceu em Murphys, Califórnia, uma pequena vila sem muito estímulo mental. Lackey descobriu os PCs no início da adolescência e começou a economizar dinheiro para comprar um novo disco rígido para aprender Linux. Era um trabalho duro e solitário, e ele adorava. Ele levou meses para descobrir as configurações de PPP para se conectar ao seu ISP local. Mas uma vez que ele estava ligado, levou apenas cinco minutos para alguém hackeá-lo e desligá-lo.
“Foi um momento que mudou minha vida”, diz ele, “de uma maneira extraordinariamente positiva”.
A infraestrutura de segurança tornou-se a obsessão de Lackey. Ele começou a passar noites jogando “capture a bandeira” virtual com seus amigos, devorando Red Hat, Windows e todos os manuais de sistemas que podia encontrar. A paixão por infraestrutura e segurança ofensiva-defesa levou Lackey à UC Davis, aquele improvável berço de gênios, onde trabalhou como estagiário no laboratório de segurança informática (uma raridade no início dos anos 2000, mesmo em grandes universidades).
A certa altura, ele teve que desenvolver uma armadilha de mel e, assim, criou um site departamental falso e inteiro para atrair hackers. Um grupo de adolescentes sul-americanos mordeu a isca e instalou seu próprio servidor de Counter Strike. Ele descreve o evento de hoje como se fosse uma partida de rugby: tudo dar e receber, alta pressão e jogo de pés inteligente.
Seu primeiro emprego fora de Davis veio de um anúncio do Craigslist de 2005: uma startup da Bay Area chamada iSEC Partners estava procurando seu primeiro funcionário. Lackey começou imediatamente, trabalhando como consultor geral sob a direção de Alex Stamos. Seu trabalho envolveu muitos testes e avaliações de aplicativos, sem fio e de rede.
Então, em 2010, o NCC Group comprou a iSEC Partners e Lackey foi para Nova York para iniciar uma filial na Costa Leste. Foi lá, por volta de 2011, que Lackey começou a explorar as ferramentas e táticas que viriam a ser conhecidas como DevOps. As empresas estavam crescendo mais rápido do que suas implantações lineares em cascata podiam suportar. O armazenamento em nuvem e as cadeias de ferramentas integradas e personalizadas acabaram de preencher a lacuna de conceito e código.
Mas Lackey estava no caso, especialmente depois que Etsy assumiu o jovem de 26 anos, brevemente como consultor e depois como CISO. Não foi exatamente uma aposta da parte da empresa, pelo menos como Lackey conta; suas credenciais falavam por si. Etsy deu a Lackey seu primeiro gosto real do volume colossal de manutenção de segurança internacional moderna. Na iSEC, Lackey implantou um teste de caneta uma vez a cada 18 meses. No Etsy, esperava-se que ele fosse implantado 30 vezes por dia .
“Isso era segurança”, diz ele, “mas para um mundo diferente”. (Etsy estava à frente do pacote – na época, Google e Facebook estavam implantando uma vez por semana.)
Esse mundo diferente trouxe suas próprias novas ferramentas, não apenas no Etsy, mas em sua empresa espelho na Costa Oeste, Netflix, onde outro veterano do iSEC, Jason Chan, agora era CISO. Assim como Chan, Lackey percebeu que a dependência de milhares de firewalls de aplicativos Web (WAFs) discretos nunca poderia acompanhar o volume moderno de ameaças. A transição para a nuvem era parte da solução, assim como uma estratégia de confiança zero com mais nuances do que era comum, então ou agora.
Mas o que empresas como a Etsy precisavam era de uma arquitetura totalmente nova, onde cada aplicativo individual se encaixasse em um sistema de segurança integrado verticalmente em toda a empresa, como dentes em um zíper, acessível por meio de um console de “painel único de vidro”. O console teria que ser completamente visível entre as equipes, nunca “trabalho de outra pessoa” (dentro ou fora da empresa) e, o mais importante, escalável. Foi aí que surgiu o DevOps.
Os negócios crescem em velocidades diferentes; o objetivo do DevOps é manter suas operações de segurança em movimento exatamente na velocidade de que precisam. Lackey diz que a escala é o principal problema enfrentado por toda equipe de segurança e que “se você precisa ser um especialista em segurança para usar uma ferramenta de segurança, [a ferramenta] não escala”.
Mudando seu jogo
Em 2014, Lackey deixou a Etsy com dois de seus colegas para formar a Signal Sciences, uma startup de segurança de API e aplicativo da Web apoiada por empreendimentos. A Signal Sciences explodiu (no bom sentido): no auge do mandato de Lackey como membro do conselho e CSO, a empresa tinha 150 funcionários, US $ 28 milhões em receita recorrente anual e lojas como Forbes e Gartner acumulavam elogios.
Lackey então se viu do outro lado da mesa, assessorando as empresas da Fortune 500 e, cada vez mais, investindo em novas empresas. “Gosto de me adaptar”, diz ele, com o mesmo prazer que aparece em seus contos sobre jogos de hackers do início dos anos 2000.
“A segurança foi um dos maiores obstáculos para a adoção inicial do DevOps”, diz Lackey. Como CISO da Etsy, um dos primeiros a adotar o DevOps, ele aprendeu a instituir o DevOps por meio de experiência em primeira mão. Ele é coautor de um livro sobre o assunto, chamado Construindo um Programa de Segurança Moderno , e descobriu que gostava de compartilhar as lições que aprendeu com outras empresas que passavam pela mudança.
O investimento anjo parece unir as duas paixões profissionais de Lackey: a marcha constante do DevOps como disciplina e o amor pelo jogo frustrante, de alto risco e alto risco. É também uma união de tecnologia do lado direito do cérebro e habilidades de liderança do lado esquerdo, o que parece ser natural para Lackey. No ano passado, ele explicou ao podcast Cloud Security que, à medida que todas as funções se fundem, os fundadores precisam manter seus objetivos em mente ou correm o risco de falhar. “Você está construindo uma empresa”, disse ele, “não um projeto de tecnologia” – conselho notável de um especialista em infraestrutura.
Comprou rapidamente a Signal Sciences em 2020. Lackey consultou de forma independente por dois anos antes de aceitar o papel de parceiro na a16z. Ele gosta do trabalho, principalmente de suas interações com os fundadores – “Gosto de ser a primeira chamada deles”, diz ele – e diz que as novas soluções que está vendo são extraordinárias. Ele não vai dizer quais são essas soluções, por questões de confidencialidade; presumivelmente, eles incluem protocolos de confiança zero atualizados para a década de 2020. Mas ele está feliz em ver a disciplina que ele ajudou a formar, DevOps, ganhar vida própria.
“Esta é uma mudança geracional no desenvolvimento e entrega de software”, diz ele. “Estou animado para o futuro.”
BYTES DE PERSONALIDADE
De qual realização profissional você mais se orgulha? “Não é uma conquista, mas estou muito orgulhoso de todas as equipes das quais pude fazer parte e do trabalho que fizemos”.
Qual tecnologia ou solução causou o maior impacto em seu trabalho? “Mais uma vez, não é uma tecnologia, mas eu diria que velocidade – o aumento da velocidade. A mudança da era da abordagem em cascata para a era do DevOps foi sobre movimento rápido, iteração rápida. Quero dizer, pense em quanto tempo levou fundar uma empresa nos anos 90, em comparação com o início dos anos 2000, em comparação com agora.”
Qual é a coisa que seus colegas nunca adivinhariam sobre você? “Eu nasci em uma vila de pescadores no Alasca. Fale sobre baixa tecnologia! Meus pais foram para o Alasca nos anos 70 para trabalhar como pescadores comerciais. Depois que eles me tiveram, eles se mudaram para Murphys.”
Algum passatempo? “Viagem – eu estive em todos os continentes, exceto na Antártida, mas isso é o próximo. Eu esquio e faço snowboard.”
Finalmente, entendemos que você é um bebedor de uísque. Islay, Speyside, Highland? “Eu amo todos os uísques: bourbon, scotch, japonês. Eu tendo a gostar de uísques turfados, no entanto – seu Lagavulin 16 básico, por exemplo. Um copo geralmente é suficiente.”
FONTE: DARK READING