Adotando a "segurança por design": como criar um framework mais seguro
As pesquisas indicam que a cibersegurança se tornou crucial para as organizações. É uma preocupação que ronda cada vez mais os executivos, e as empresas estão investindo mais do que nunca para combater as ameaças cibernéticas.
Uma nova pesquisa global com profissionais de TI, a ser apresentada por nós nas próximas semanas, ressalta mais uma vez o quão crítica a cibersegurança se tornou para as organizações. Além de ter sido identificada como a principal preocupação empresarial pelos executivos, acima de todas as outras questões, também está claro que as empresas estão investindo mais do que nunca em programas destinados a combater as ameaças cibernéticas.
E é fácil entender o porquê. A miríade de vetores de ataque que nos aflige hoje é multifacetada e aumenta sem parar. Atualmente, é possível comprar um software de hacking por tão pouco quanto 5 dólares e causar estragos a partir de qualquer parte do mundo. O Open Redirect, que ganhou as manchetes recentemente, é apenas um dos vários golpes cada vez mais sofisticados que mantêm as equipes de segurança em alerta.
Segundo a versão mais recente do "Almanaque de Cibersegurança 2022", divulgado pela Cisco/Cybersecurity Ventures, a previsão é de que o custo do crime cibernético atinja US$ 10,5 trilhões até 2025. As organizações têm percebido que aumentar o investimento não é apenas aconselhável, mas absolutamente obrigatório para a sobrevivência dos negócios. Mais do que nunca, ter uma estratégia de segurança abrangente é vital para o sucesso de qualquer empresa. Mas não se trata apenas de dinheiro – trata-se também das pessoas.
Segurança a cada tecla pressionada
Paralelamente a esse intenso foco em cibersegurança e ao aumento do investimento em contramedidas, outra importante mudança organizacional ocorreu. Os profissionais de segurança, antes um grupo isolado e compartimentado dentro de muitas organizações de TI, estão agora, por necessidade, no âmago do desenvolvimento de produtos, trabalhando harmoniosamente com os demais em equipes integradas de DevOps.
Quando as organizações ainda confinavam-se a quatro paredes, as equipes de segurança podiam submeter os desenvolvedores a uma série de testes para garantir um nível básico de segurança: os padrões foram seguidos? Foram usadas todas as nossas conexões de banco de dados seguras? Porém, com o desaparecimento gradual dos data centers e a eliminação dos limites da rede, a maioria dos aplicativos hoje é uma combinação de código original e outros serviços. Além disso, com os usuários, quer funcionários ou não, espalhados pelo mundo, está dada a receita para haver inúmeros pontos de entrada para os vilões. O resultado é que a complexidade extra na maneira de as organizações implantarem a infraestrutura de TI criou camadas adicionais de vulnerabilidade.
Essas vulnerabilidades recentes fizeram surgir uma série de dúvidas novas que as empresas têm sido forçadas a responder, como por exemplo: como a segurança afetará o design e a arquitetura? Até que ponto os desenvolvedores estão seguindo as normas para garantir a segurança? Como monitorar possíveis vulnerabilidades na nuvem ou em serviços de terceiros?
Percebendo que a segurança não poderia simplesmente ser encarada como uma consideração a posteriori, a maioria das organizações tem trocado a mentalidade de "segurança por estágio" pela de "segurança por design". Antes considerados potenciais portadores de más notícias, os profissionais de segurança hoje são vistos pelos pares menos como adversários e mais como aliados essenciais, ajudando a garantir que a qualidade e a resiliência sejam entregues no ritmo certo, sem erros dispendiosos. Embora fosse costume verificar a segurança incrementalmente, conforme as organizações passassem pelos diferentes "estágios" do processo de desenvolvimento do aplicativo, isso agora se dá a cada pressionamento de tecla.
Segurança na nuvem, pronta para uso
Felizmente, há também uma série de excelentes ferramentas prontas que os profissionais de segurança podem usar para facilitar suas vidas e a vida de suas equipes. Empresas como nossa parceira Oak 9 oferecem às organizações a capacidade de automatizar a segurança nativa da nuvem em todos os processos de DevOps, do projeto à produção. Ao integrar a segurança antes que os aplicativos entrem em operação no ambiente de nuvem, as empresas podem remediar a segurança e resolver lacunas de conformidade em tempo real, sem os custos adicionais ou os recursos humanos necessários para criar soluções do zero.
À medida que as empresas derem sequência a suas transformações na nuvem, a segurança continuará surgindo como uma preocupação fundamental, pois os bandidos não vão desistir. No entanto, ao pensar na segurança em cada etapa do processo, eliminar silos e determinar como fornecedores terceiros e soluções prontas podem facilitar a transição, as equipes de desenvolvimento de aplicativos podem tornar as próprias vidas muito mais fáceis.
Adotando a agilidade
About the Authors
Chief Technical Evangelist
Jeff DeVerter
Jeff has 25 years of experience in IT and technology, and has worked at Rackspace Technology for over 10 years. Jeff is a proven strategic leader who has helped companies like American Express, Ralph Lauren, and Thompson Reuters create and execute against multi-year digital transformation strategies. During his time at Rackspace Technology, Jeff has launched and managed many of the products and services that Rackspace Technology offers, as well as supporting merger and acquisition activities to enhance those offerings. Jeff is the father of two young men and husband to his wife Michelle of 27 years. When not at Rackspace Technology or around San Antonio, you can find Jeff doing land restoration on his ranch in the Texas hill country.
Read more about Jeff DeVerter
