Fazer com que as equipes ágeis trabalhem bem com o pessoal de segurança tem sido historicamente bastante difícil. Parte do problema é que a maioria dos processos e práticas de segurança foram construídos para grandes projetos Waterfall com requisitos definidos com antecedência, em vez de pequenas equipes trabalharem rápida e iterativamente.
Muitos profissionais de segurança têm dificuldade em adaptar suas práticas existentes a um mundo onde os requisitos podem mudar a cada poucas semanas ou onde nunca são escritos.
Onde as decisões de projeto e gerenciamento de riscos são tomadas pela equipe a tempo, em vez de serem planejadas e direcionadas de cima para baixo. E onde os testes manuais e a verificação de conformidade não podem acompanhar a velocidade da entrega.
Pior ainda, muitas equipes de segurança trabalham com uma visão em que seu objetivo é:
- Inibir o máximo possível as alterações;
- Em um esforço para minimizar a alteração no perfil de risco do aplicativo ou ambiente;
- Se não houver mudança de risco, a equipe de segurança não poderá ser responsabilizada por novos problemas de segurança que possam surgir.
Equipes de segurança da informação
Segurança da informação
As equipes de segurança que tentam reduzir os riscos minimizando as mudanças, em vez de apoiar as equipes de desenvolvimento a realizar suas ideias de maneira segura, estão fadadas a serem cada vez mais irrelevantes em um mundo ágil e, portanto, serão ignoradas. Os resultados serão sistemas que não são seguros, ou compatíveis, porque a segurança é removida do processo de desenvolvimento.
Apesar de tudo isso, há equipes que seguem com sucesso métodos ágeis para fornecer software seguro.
As equipes ágeis precisam entender e optar por adotar práticas de segurança e assumir mais responsabilidades pela segurança de seus sistemas. Os proprietários de produtos dessas equipes precisam dar às equipes tempo suficiente para fazer isso corretamente e precisam entender e priorizar os requisitos de segurança e conformidade.
Os profissionais de segurança precisam aprender a aceitar mudanças, trabalhar de forma mais rápida e iterativa, além de poder pensar sobre os riscos à segurança e como gerenciar os riscos em termos incrementais.
Mas como fazer isso? O DevSecOps pode ser uma solução!
Aproxime a segurança da perspectiva de ser uma jornada, não um destino, que começa com um pequeno número de fundamentos sobre os quais você continuará construindo, relacionando iterativamente novos desenvolvimentos de volta a conceitos familiares.
O DevSecOps pode ser uma solução!
As organizações que obtiverem sucesso na implantação do DevSecOps podem alcançar níveis incríveis de velocidade e eficiência.
Muitas equipes de DevOps estão lançando código para produção várias vezes por dia, com algumas organizações atingindo níveis de centenas ou mesmo milhares de implantações por dia. Olhando para Lean e Kanban, podemos ver que, se a maior fila do seu sistema estiver esperando a entrada do código em produção para obter feedback, eliminar esse gargalo pode ser um grande facilitador de negócios.
Melhorar o feedback e reduzir o tempo de colocação no mercado não são os únicos benefícios dessa abordagem. Também vemos que as organizações capazes de liberar com mais frequência são significativamente mais confiáveis.
As organizações que implantam com pouca frequência tendem a se concentrar no MTBF (Mean Time Between Failures), que é uma estratégia avessa ao risco, mas significa que elas estão muito menos preparadas para lidar com as falhas quando elas acontecem.
Em vez disso, a principal métrica que começamos a analisar é o tempo médio de recuperação (MTTR) de falhas operacionais. As organizações que lançam alterações menores com mais frequência podem identificar a causa dos problemas muito mais rapidamente e são significativamente mais capazes de obter correções, o que reduz seu MTTR.
Benefícios do DevSecOps
Segurança da informação
- Maior retorno do investimento (ROI).
- Melhor produtividade.
- Uso mais eficiente de recursos compartilhados.
- Menos interrupções de aplicativos ou serviços.
- Auditoria de segurança mais simplificada
- Maior visibilidade das vulnerabilidades de segurança em toda a organização.
- A adoção mais fácil de tecnologias que exigem medidas avançadas de segurança, como serviços em nuvem.
- Gerenciamento e resposta a incidentes mais fortes
- Patch mais eficaz
E o mais importante, a segurança precisa se tornar um facilitador, em vez de um bloqueador. Agile e DevOps não são modismos. O futuro da TI será mais rápido, mais ágil, mais colaborativo e mais automatizado. A segurança da informação precisa enfrentar esses desafios e garantir que o futuro não seja apenas rápido, mas também seguro.
Curso DevSecOps Advanced
Quer se tornar um especialista no assunto? Clique aqui e conheça nosso curso DevSecOps Advanced e alavanque sua carreira com o que há de mais novo no mercado!