Segurança e DevOps – Conceito Novo para uma Necessidade Antiga

Como a integração de Segurança com Dev pode beneficiar o ciclo de desenvolvimento

A integração de Segurança no ciclo de Desenvolvimento é importante para reduzir o retrabalho e diminuir falhas devido a requerimentos de segurança não seguidos.

A DigiCert,realizou pesquisa “Segurança e DevOps” de 2017, e revelou que 98% das empresas estão integrando suas equipes de segurança às suas metodologias DevOps existentes.

Seu objetivo é aumentar a segurança da informação, agilidade de TI e agilidade de desenvolvimento. No entanto, as empresas tem enfrentado vários desafios, incluindo o tempo necessário e as diferenças culturais entre as funções de segurança, TI e DevOps.

Indo mais rápido, introduz riscos de segurança, ao mesmo tempo em que maximizar a segurança muitas vezes retarda as coisas“, disse Dan Timpson, Diretor de Tecnologia da DigiCert. “O mercado está em um ponto de inflexão e as empresas estão procurando soluções para minimizar o tempo necessário para integrar e ajudar a segurança a se adequar aos fluxos de trabalho do DevOps“.

49 por cento estão em processo de fazê-lo, e 49 por cento completaram seus esforços. Aqueles que integraram a segurança no DevOps relatam melhorias na agilidade do desenvolvimento e na segurança da informação, ao contrário da crença comum de que a segurança e a agilidade não podem coexistir. Além disso, eles são:

  • 22 por cento mais propensos a informar que estão indo bem com a segurança da informação
  • 21 por cento mais propensos a reportar o cumprimento dos prazos de entrega de aplicativos
  • 21 por cento mais propensos a reportar que estão indo bem, reduzindo o risco do aplicativo
fonte DigiCert

A segurança ágil está na mente das empresas, 88% dos entrevistados dizem que é importante integrar a Segurança no DevOps. Eles reconhecem que a falta desta integração levará a problemas, incluindo:

  • Aumento dos custos (78%)
  • Entrega mais lenta de aplicativos (73%)
  • Aumento dos riscos de segurança (71%)

Os entrevistados também admitem que o processo não é fácil, embora os obstáculos variem dependendo da cultura e da maturidade da organização.

Antes de fazer a transição, as empresas preveem que os principais desafios serão os seguintes:

  • A estrutura organizacional proíbe a integração
  • Falta um sponsor para a transição
  • A equipe de segurança realmente “não funciona bem” em um ambiente de equipe

Pela pesquisa as organizações que estão trabalhando na implementação, depois de integrar a segurança, os maiores obstáculos foram:

  • Toma muito tempo
  • Equipe de segurança resiste a mudança

Segundo o CSO da DigiCert, Jason Sabin, “a agilidade e a segurança não são mutuamente exclusivas, e a integração requer uma combinação de melhorias tecnológicas e uma mudança cultural na forma como a equipe técnica está alinhada. A metodologia DevOps não é apenas um método para aumentar a velocidade, mas sobre melhorar a eficiência, controle de qualidade e previsibilidade nos resultados de desenvolvimento. A integração correta de pessoal e tecnologia de segurança, incluindo certificados digitais, pode melhorar as métricas organizacionais, evitar atrasos caros e melhorar a experiência do usuário final “.

A Segurança da Informação é sempre “uma pedra no sapato” quando é chamada somente ao final do cliclo de Desenvolvimento. Usualmente quando um processo estruturado não acontece a Segurança é chamada ao final para liberar “regras de firewall” ou “criar usuários” e então descobre-se que o produto não implementa questões importantes de segurança e o desenvolvedor precisa voltar para a “prancheta” ou o produto entra em produção com deficiências importantes e coloca a organização exposta a riscos desnecessários.

 

Nossa experiência

Uma boa integração de Segurança com Desenvolvimento, dê-se o nome que quiser,  DevOps ou outro, mapeia as fases do desenvolvimento e define-se os entregáveis de ambas as áreas para que se tenha as orientações e avaliações de segurança necessárias ao mesmo tempo que se tem as informações e implementações realizadas nos produtos.

A algum tempo atrás, em 2007, bem antes de falarmos de DevOps, tive o prazer de liderar uma equipe excelente de profissionais de segurança em um banco, onde definimos o que chamamos na época de ASTI que representava um indíce de “Aderência à Segurança de TI”. Para criar o ASTI, mapeamos cada fase da metodologia de desenvolvimento e definimos os entregáveis em cada uma delas.

Passamos a reportar mensalmente, nos comitês de TI e no book mensal da área, a aderência média de cada superintendência de desenvolvimento (o banco tinha várias, uma para cada área de negócio). Mas claro que antes comunicamos a todos o que iríamos fazer nos reunindo e explicando a cada uma das áreas individualmente.

No início causamos certo desconforto pois ninguém queria ver um número ruim na sua área, com o passar dos meses as equipes de Dev entenderam o propósito e “compraram” ideia, pois viram o benefício de ter a área de segurança envolvida desde o início no ciclo de desenvolvimento ajudando a definir os caminhos necessários para um desenvolvimento seguro e aderentes as normas do banco e não sendo mais a “pedra no sapato” na hora de subir para produção.

Um ano depois conseguimos fazer com que um percentual do indíce de qualidade do geral do projeto fosse relativo a avaliação ASTI.  Sucesso!!!!  estava implementado o melhor processo de integração de segurança e desenvolvimento do qual tive oportunidade de participar e ver implementado. Claro que tive alguns problema com o ajuste de workload da área, mas isto a gente sempre resolve de alguma forma, e ali não foi diferente, a equipe era realmente boa.

Pelo que sei o sistema funcionou e evoluiu ainda mais até a venda do banco em 2016, quase 10 anos depois.

 

Me coloco a disposição para um visita caso queira saber mais sobre o processo que liderei, é só mandar um email kleber.melo@mindsec.com.br.

 

Pesquisa DigiCert

Abaixo reproduzimos o infográfico da DigiCert sobre a sua pesquisa, e para aqueles que querem vê-la completa pode encontrá-la clicando aqui.

Veja também:

Informações Sensíveis estão em risco durante o Ciclo de Desenvolvimento e Testes

Desenvolvedores sabem sua Responsabilidade de Segurança, mas falta Treinamento

Integração de SI com o Negócio: a Chave do Sucesso

Especialista Compila Lista de Ataques de 2017

Cyber Começa com Profissionais Qualificados

Falta de Treinamento e Pessoal Técnico são Principais Fatores de Incidentes de SI

 


fonte DigiCert
por Kleber Melo
Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. DevSecOps: Desenvolvimento rápido sem sacrificar a segurança – Information Security
  2. SecOps ou DevSecOps - que bicho é este ? pra que serve?
  3. SecOps ou DevSecOps – que bicho é este ? pra que serve? – Information Security

Deixe sua opinião!