Segurança da Informação

CIOs, você está priorizando a segurança?

Se não, você deveria estar. Continue lendo para saber como implementar melhor segurança cibernética em sua organização e manter seus dados seguros e protegidos.

O CIO moderno tem um número crescente de prioridades, a maioria das quais é impulsionada pelas megatendências de transformação digital e migração de nuvens. Eles também devem gastar tempo e recursos, garantindo que as linhas de negócios existentes continuem a funcionar sem problemas e gerem receita.

A segurança é importante, mas não é uma prioridade
Com muita frequência, a segurança é uma área que tende a ficar para trás de outras iniciativas e é frequentemente “consolidada” no final de um projeto ou migração. O resultado é que a correção de qualquer problema é apressada, controles atenuantes são colocados em prática como uma lacuna de parada ou, ainda pior, uma decisão consciente é tomada para absorver o (s) risco (s).

As equipes de segurança, que já estão sobrecarregadas e com falta de pessoal, começam a adicionar mais ferramentas ao ambiente para tentar fornecer defesas e insights sobre as áreas inseguras. O principal problema com essa solução de “scale out” de produtos individuais e soluções pontuais é que eles normalmente exigem algum nível de intervenção manual.

Se essa mudança de comportamento for exigida pelos desenvolvedores, eles normalmente só usarão a ferramenta periodicamente e de maneira inconsistente. Por outro lado, se a ferramenta exigir que o engenheiro de segurança execute um conjunto de ações, isso também será inconsistente devido à escassez de talentos mencionada anteriormente.

Planejamento Estratégico de Segurança
Agora que os desafios foram delineados, o que um CIO deve fazer para integrar melhor a segurança ao ambiente e fortalecer a postura de segurança da empresa? Dada a minha função anterior como CIO em grandes ambientes corporativos, fornecerei uma abordagem do mundo real e um conjunto de práticas recomendadas para estabelecer uma linha de base da atual postura de segurança. A ação mais importante que você pode fazer é começar porque a segurança é um desafio e prática em constante evolução. Começar e / ou desenvolver um caminho para melhorias é o primeiro passo mais importante.

Algumas melhores práticas

  • Você não pode proteger o que não conhece – A visibilidade é fundamental para a segurança, portanto, a primeira etapa é realizar uma auditoria abrangente de todos os repositórios de código, ambientes / implantações de aplicativos e quaisquer serviços externos de terceiros que sejam sendo usado. Em conjunto com esta auditoria, documente todas as ferramentas e soluções de segurança que estão sendo usadas ou foram implantadas. Uma parte importante desse processo é também reunir-se com vários membros das equipes de desenvolvimento, DevOps e segurança para obter uma visão sobre um viés cultural e diferentes visões de segurança. Não subestime o valor dessa parte do processo, pois a transformação cultural será mais desafiadora do que os aspectos técnicos da execução.
  • Priorizar, priorizar, priorizar – Agora que você concluiu a auditoria de inventário, é hora de realizar a avaliação de risco. Atribuir uma pontuação a cada ativo principal com base nos possíveis efeitos adversos para o negócio se houver uma questão / violação de segurança. Mesmo que o objetivo seja implantar uma estrutura estratégica, você precisa começar em algum lugar, e esse ponto de partida é, obviamente, o ativo comercial mais crucial. Também é importante perceber que essa avaliação não é um exercício estático, pois o risco é realmente uma entidade elástica e o nível correspondente pode mudar com bastante frequência em um negócio de alta velocidade.
  • Integração perfeita – As soluções de segurança tendem a ser soluções pontuais, em vez de serem integradas em ambientes e fluxos de trabalho. Para software, as organizações têm a oportunidade de integrar a segurança mais no processo de desenvolvimento do produto. As equipes podem corrigir os defeitos no início do ciclo, economizando tempo e dinheiro, além de aumentar a segurança geral. Na minha experiência, essa abordagem cria um ambiente muito mais colaborativo e leva a equipe de segurança ao ciclo de vida de desenvolvimento. Com o tempo, isso pode transformar a cultura em verdadeiros DevSecOps. A integração da ferramenta de segurança deve aproveitar a automação e a orquestração para fornecer abordagens repetíveis aos testes de segurança. A “automação” melhora as tarefas manuais com foco vertical e a “orquestração” une todos os processos separados em uma única visualização.
  • Métricas de segurança: não é possível melhorar o que você não pode (ou não) medir, e alguns KPIs a acompanhar incluem seu IRD – Taxa interna de detecção – e sua IRR – Taxa interna de correção. Muitas vezes, o foco está no seguro e na defesa passiva, e meu conselho é que você comece a pensar em segurança e nivelar o campo de jogo adotando abordagens mais ofensivas à segurança. Ao rastrear quantos problemas de segurança são detectados durante o ciclo de desenvolvimento, quando eles são detectados e a rapidez com que são corrigidos, você pode apresentar esses dados ao CEO e ao conselho para discutir o que está funcionando e o que ainda precisa ser feito.
  • Garantia contínua – O teste de segurança de código e aplicativo tem sido tipicamente um processo periódico, manual e até mesmo altamente regulamentado, aderindo apenas aos seus respectivos requisitos de conformidade (por exemplo, o PCI-DSS requer um teste de penetração duas vezes por ano). Minha experiência sugere que o processo de garantia de segurança precisa ser contínuo, em que qualquer alteração significativa que é entregue à produção é verificada por vulnerabilidades e quaisquer problemas descobertos são corrigidos nesse momento e no momento. Esse loop de feedback rápido provou aumentar a velocidade de entrega e melhorar a qualidade geral do código

O mercado de segurança e a paisagem são alimentados pela FUD – medo, incerteza e dúvida – que muitas vezes é o impulsionador de projetos de segurança, se não de estratégias. Na minha experiência, essa abordagem não ajuda a melhorar a postura geral de segurança e uma abordagem completamente nova precisa ser adotada.

À medida que você evolui sua estratégia de segurança com algumas ou todas as práticas recomendadas que descrevi, considere criar confiança, segurança e visibilidade, pois elas ajudarão a melhorar sua resiliência. Espero que, ao delinear a abordagem que funcionou para mim, você possa começar a implementar sua estratégia de segurança e acelerar a velocidade de desenvolvimento no processo.

Fonte: State of the Software Supply Chain de Sonatype de 2017