Maiores Obstáculos ao Sucesso SecOps

O SecOps pode ser o novo DevOps, mas não é necessariamente uma adoção fácil. Abaixo cinco obstáculos para usá-lo com sucesso, para que você possa ficar atento a esses sinais.

Até mesmo organizações que entendem a importância da cibersegurança na teoria muitas vezes tropeçam quando se trata de casar iniciativas de segurança com seus processos de desenvolvimento e operações.

Recentemente, conversei um grupo de profissionais de desenvolvimento, operações e segurança, compilando descobertas neste artigo. Encontrei uma enorme lacuna entre intenção e realidade quando se trata de implementar e praticar SecOps – um termo que – adequadamente entendido – refere-se à integração e alinhamento de segurança com as práticas de DevOps.

A maioria das organizações concorda que todos devem ser responsáveis ​​pela segurança, mas esse princípio não está sendo cumprido no dia-a-dia em muitas organizações. E isso é uma má notícia para todos.

Hoje, estamos examinando por que a visão da SecOps não se tornou realidade na maioria das organizações. Estamos explorando obstáculos e atitudes específicas para destacar o que está atrapalhando, mesmo em organizações em que uma postura de segurança mais forte é uma meta explicitamente declarada.

Os Cinco Maiores Obstáculos ao Sucesso SecOps

1. Disposição para sacrificar a segurança pela velocidade
Mais da metade das empresas (52%) admitem reduzir as medidas de segurança para cumprir um prazo ou objetivo de negócio. E é fácil entender por que as empresas estão fazendo isso: no mundo competitivo e acelerado de hoje, a velocidade da inovação e da execução é o que impulsiona o negócio, permitindo que ele seja dimensionado e competitivo. Retardar revisões de código ou implantação pode significar um impacto direto na linha de produção, bem como a satisfação do cliente. No entanto, é realmente um mito que empregar as melhores práticas de segurança necessariamente atrasará a inovação. As empresas que alinham segurança e objetivos de negócios, na verdade, apresentam melhor desempenho.

2. Liderança não está patrocinando SecOps
Se a liderança não está integrada com o SecOps integrado, pode ser quase impossível conseguir o resto da empresa a bordo. De acordo com minhas conversas, a pressão para agir o mais rápido possível, sem considerar as ramificações da segurança cibernética, geralmente vem do alto. Sessenta e oito por cento das empresas afirmaram que seus CEOs exigem que as equipes SecOps e de segurança não façam nada para desacelerar os negócios. Quando a diretiva de velocidade começa no topo, é difícil ignorar – mesmo que isso signifique que a segurança se torne atropeladora no processo. Sabe aquele papo que o que importa é o MVP ? Pois é =)

3. Segurança Permanece Segregada
Apesar do fato de que as empresas querem segurança integrada com a maior organização, isso raramente acontece. Na maioria das vezes, a segurança é isolada. Na verdade, um especialista em segurança é designado para a equipe de operações em apenas 27% das organizações pesquisadas, e os profissionais de segurança estão envolvidos com equipes de desenvolvimento em apenas 18% dos casos. Em 38% das organizações, a segurança é uma equipe completamente separada que só é trazida “quando necessário”.

4. Os desenvolvedores não podem codificar com segurança
Embora não seja ideal, não seria tão importante que a segurança fosse isolada se não fosse pelo fato de que 44% dos desenvolvedores não são treinados para codificar com segurança. Sem esse conhecimento básico, a codificação geralmente é feita sem a segurança em mente. Isso faz com que a segurança se torne um gargalo quando deve inevitavelmente intervir e intervir. Isso não só atrasa o processo, mas também cria atrito entre essas equipes, dificultando ainda mais sua cooperação.

5. Operações não tem treinamento de segurança
Um total de 42% das equipes de operações admitem que não são treinados em práticas básicas de segurança, o que significa que não podem configurar servidores com segurança. Isso também significa que eles não veem a implantação de segurança como parte do processo de gerenciamento de configuração, o que permite que as práticas recomendadas de segurança caiam no esquecimento. Quando os profissionais de operações não são treinados em segurança, não há como a SecOps ter sucesso.

Superando Obstáculos no SecOps
Embora os cinco obstáculos que descrevemos sejam significativos, as organizações estão encontrando maneiras de superar esses desafios para melhor adequar sua intenção à realidade. Muitos estão equipando o C-Suite com o conhecimento necessário, alinhando a segurança aos objetivos de negócios e reduzindo a lacuna de segurança e operações.