Uma pesquisa recente revelou que existe uma pequena disparidade entre a capacidade das empresas de desenvolver aplicativos e a probabilidade de ocorrer uma grande violação de dados.
Imagem: MaxWdhs/StockVaultSe algo mantém os líderes de desenvolvimento na nuvem acordados à noite, é a preocupação com a possibilidade iminente de uma violação de segurança. Em qualquer reunião de negócios, engenheiros, desenvolvedores e arquitetos de nuvem frequentemente enxergam uma quebra de segurança grave na empresa como algo que vai acontecer inevitavelmente.
O Enterprise Strategy Group recentemente finalizou uma pesquisa sobre detecção e resposta a ameaças na nuvem, com descobertas interessantes. De acordo com o estudo, 80% das organizações implementaram um modelo devops e 75% realizam novas implantações de software na produção pelo menos uma vez por semana. Os principais desafios identificados incluem a falta de visibilidade e controle no processo de desenvolvimento, a liberação de software sem verificações de segurança e a inconsistência nos processos de segurança entre equipes de desenvolvimento. Também foram mencionadas preocupações relacionadas à cadeia de suprimentos.
Agora, vem a parte preocupante. Segundo a pesquisa, no ano passado, quase todas as empresas sofreram ataques cibernéticos direcionados a softwares e sistemas na nuvem. Embora muitas pessoas acreditem não ter conhecimento de violações em suas próprias empresas, esses incidentes são frequentemente mantidos em sigilo, até mesmo internamente.
Os principais vetores de ataque são erros de configuração, vulnerabilidades de software comuns e utilização indevida de contas com privilégios. Embora pareçam questões simples de resolver, por algum motivo, tornaram-se mais generalizados. Este fenômeno é apontado neste relatório e é frequentemente observado.
Qual é a ação necessária?
Parece que sabemos como resolver essas vulnerabilidades, porém não agimos para corrigi-las. Muitos CISOs com quem converso costumam apresentar as seguintes justificativas.
Inicialmente, muitas vezes não há financiamento para resolver essas vulnerabilidades, especialmente em relação à segurança da nuvem e ao desenvolvimento, que costumam ser negligenciados. Apesar disso, em muitos casos, o financiamento é adequado em comparação com outras áreas, mas ainda assim os problemas persistem.
De acordo com o autor, a dificuldade está em encontrar profissionais qualificados para preencher as 10 vagas de segurança e desenvolvimento disponíveis. Isso é um desafio legítimo que precisa ser solucionado, conforme mencionado em um post anterior.
Apesar das forças contrárias, existem algumas ações recomendadas a serem tomadas. Os CISOs precisam ser capazes de coletar dados que evidenciem os riscos e comunicá-los aos executivos e ao conselho. Essas conversas são desafiadoras, porém essenciais se você pretende lidar com essas questões como uma equipe executiva e minimizar o impacto em você e nas equipes de desenvolvimento quando as coisas não saem como o esperado. Em muitos casos, os executivos e o conselho encaram isso como uma estratégia para obter mais recursos financeiros, o que também deve ser abordado.
Os métodos para mitigar esses perigos englobam a realização de treinamentos regulares de segurança para os times de desenvolvimento de software, que constituem a principal forma de proteção. Posteriormente, é possível definir metas de segurança viáveis e um plano estratégico de segurança. Adicionalmente, é válido considerar abordagens inovadoras, como a oferta de incentivos financeiros para promover aprimoramentos na segurança.
A maioria dos responsáveis pela segurança da informação não consegue apresentar um plano claro para melhorar a segurança, o que se torna uma grande fraqueza. Embora seja desafiador, é crucial ter um plano que seja urgente, proativo e adaptado às necessidades específicas. Seguir as tendências atuais certamente resultará em falha.
O foco está na automatização.
A prioridade deve ser acelerar a implementação de práticas de segurança no desenvolvimento de software. É importante que todos estejam alinhados, promovendo uma cultura unificada e buscando a integração de automação e ferramentas. A automação desempenha um papel crucial na criação de processos repetíveis para mitigar riscos de segurança, desde a verificação das fontes de código até a identificação de vulnerabilidades e a verificação de configurações antes da implementação.
Para automatizar esse processo, é essencial compreender que a segurança deve ser integrada desde a etapa inicial do planejamento do desenvolvimento. Ela deve ser considerada de forma abrangente em todas as fases, abrangendo a arquitetura, o design de aplicativos, o desenvolvimento, os testes e a implementação. Um equívoco comum que resulta em problemas é encarar a segurança como um elemento agregado apenas no final do ciclo de desenvolvimento e da implementação.
Por fim, nenhum item deve ser enviado para produção sem antes ser submetido a testes de segurança rigorosos conduzidos pela automação. A segurança deve ser extremamente fácil de ser implementada, pois automatizamos todos os processos de desenvolvimento de segurança e verificações antes da liberação do código para a implementação. É crucial minimizar a intervenção humana, especialmente devido à escassez de pessoal qualificado e à possibilidade de falhas humanas.
Podemos resolver isso.
