Introdução
O infame ataque de ransomware ao oleoduto Colonial (2021) e o ataque de cadeia de suprimentos da SolarWinds (2020) foram mais do que vazamentos de dados; foram mudanças sísmicas na segurança cibernética. Esses ataques expuseram um desafio crítico para os Diretores de Segurança da Informação (CISOs): manter sua posição enquanto mantêm o controle sobre a segurança em nuvem no mundo acelerado do DevOps. O problema foi enfatizado pelo vazamento de dados da Capital One (2019), vazamento de dados da Epsilon (2019), comprometimentos do Magecart (em curso) e violações da MongoDB (2023-), onde hackers exploraram um bucket AWS S3 mal configurado. Uma forte colaboração entre os CISOs e as equipes de DevOps em configurações de segurança em nuvem adequadas poderia ter prevenido as violações.
Mais do que a luta contra hackers e as consequências de seus ataques, vários problemas importantes se destacam – a evolução do papel e das responsabilidades do CISO, o desafio de melhorar a segurança em nuvem e como as equipes de operações de segurança colaboram com unidades de negócios no frenesi da transformação digital.
Observando os conflitos de SecOps vs. DevOps dentro de organizações de diferentes tipos, tentaremos navegar por um cenário complexo de liderança em segurança cibernética, em particular sua relação dinâmica com o Diretor de Tecnologia (CTO). À medida que o papel do CISO se torna mais importante do que nunca, vamos nos concentrar em capacitar ainda mais os CISOs para se tornarem vozes influentes na tomada de decisões, garantindo que a segurança ocupe seu devido lugar nas práticas de DevOps.
Também sugeriremos algumas maneiras para os CISOs se comunicarem com a liderança de TI, a fim de educar e aumentar a conscientização sobre questões de segurança urgentes. Por fim, apenas parcerias fortes entre CISOs, equipes de DevOps e gerenciamento de TI podem melhorar os processos de desenvolvimento que impulsionam a inovação sem comprometer a segurança.
Os riscos para um CISO estão mais altos do que nunca
Imaginem um carro de corrida acelerando na pista de desenvolvimento. O CTO, ao volante, pressiona para inovar a velocidades vertiginosas. Mas no banco de trás, o CISO transpira, segurando o freio de mão metafórico da segurança. Este é o dilema sempre presente para os CISOs na era do DevOps: manter o controle sobre a segurança em um ambiente de desenvolvimento extremamente rápido.
Podemos concordar que anteriormente, a segurança muitas vezes vinha como uma reflexão tardia, adicionada às aplicações muito tempo depois de serem construídas. O DevOps, ao promover a agilidade, pode introduzir vulnerabilidades se a segurança não for tratada desde o início. As equipes de desenvolvimento bem-sucedidas focadas na velocidade podem inadvertidamente introduzir lacunas de segurança. Abordagens de segurança legadas, dependentes de processos manuais e recursos limitados, simplesmente não conseguem acompanhar o ritmo acelerado do DevOps.
Uma visão moderna da gestão de TI coloca o CTO na vanguarda das preocupações comerciais relacionadas à tecnologia, incluindo a mudança de toda a infraestrutura para a nuvem, enquanto o CISO se concentra na segurança, e garantir a segurança na nuvem torna-se uma das principais prioridades. O ritmo das mudanças e a arquitetura completamente nova, no caso da nuvem, apresentam novos desafios para os CISOs que enfrentam um ambiente em constante mudança. É importante adaptar seu estilo de comunicação para colaborar efetivamente com os CTOs que estão cada vez mais focados em trazer inovações e impulsionar o crescimento comercial.
Consequências do mundo real para CISOs
A declaração da Comissão de Valores Mobiliários (SEC) alega que a SolarWinds deixou de divulgar informações materiais adequadas aos investidores sobre os riscos de segurança cibernética. A declaração afirma que a empresa e seu CISO Timothy Brown divulgaram apenas riscos genéricos e hipotéticos, apesar do conhecimento interno de deficiências específicas nas práticas de segurança cibernética da SolarWinds e de uma possibilidade de ameaça aumentada.
Os casos mais infames dos quais todos devem estar cientes, os vazamentos de dados da SolarWinds e do Uber, não foram apenas vazamentos de dados. Eles foram alertas. As consequências legais de falhas de segurança são uma preocupação crescente, com a SEC exigindo que as empresas públicas divulguem os incidentes em até quatro dias e exigindo planos de segurança detalhados. Isso coloca uma pressão imensa sobre CISOs como Joe Sullivan (ex-Diretor de Segurança do Uber) e Timothy G. Brown (ex-CISO da SolarWinds), que podem enfrentar acusações criminais por não implementar salvaguardas adequadas.
Esses incidentes destacam o delicado ato de equilíbrio que os CISOs enfrentam na era do DevOps. As metodologias do DevOps priorizam velocidade e agilidade, o que pode estar em desacordo com a necessidade de práticas rigorosas de segurança. Os CISOs podem navegar nesse fio de faca de forma mais eficaz enquanto ainda garantem que a inovação não seja comprometida?
O CISO precisa preencher a lacuna
Nos primeiros dias do DevOps, os CISOs muitas vezes se sentiam como passageiros sem cinto de segurança em um mundo novo e acelerado, onde a velocidade reinava suprema e a segurança ficava para trás. Promover práticas de segurança sem impactar a velocidade de desenvolvimento pode ser desafiador. A influência do CISO permite que eles colaborem efetivamente com as equipes de DevOps e garantam que a segurança não seja deixada de lado.
Aqui estão as principais atividades em que um CISO pode se envolver para preencher a lacuna:
1. Engajar uma autoridade externa – como auditores: Parcerias com empresas de segurança respeitáveis e torná-las seus aliados fornece experiência e evidências concretas para apoiar suas preocupações. Essas avaliações independentes não apenas identificam vulnerabilidades – mas também fornecem prova de riscos potenciais e evidências de que o negócio poderia ser comprometido.
2. Testes práticos através de Exercícios de Equipe Vermelha: Os exercícios de equipe vermelha são como simulacros de incêndio de segurança. Ao dar a uma equipe de pentester uma carteira de tarefas para completar a missão, esses exercícios mostram o impacto potencial de um violação na organização. Ver os dados financeiros sensíveis comprometidos ou todos os papéis de parede de uma organização alterados via um GPO ou acesso ao terraform – pode ser um poderoso alerta para o CTO e equipes de desenvolvimento, destacando a importância de medidas de segurança robustas.
3. Implementar verificações regulares de vulnerabilidades e monitoramento contínuo da superfície de ataque externa para toda a periferia: Avaliações profissionais de ambientes em nuvem (AWS, Azure, etc.) descobrem misconfigurações de segurança que poderiam deixar a organização vulnerável. Essas avaliações fornecem dados concretos que podem ser usados para influenciar decisões sobre investimentos em segurança e práticas de DevSecOps.
4. Reúna sua equipe diretiva para definir papéis claros e responsabilidades para um exercício simulado de resposta a incidentes, fomentando um ambiente colaborativo onde todos trabalham juntos para resolver um cenário de pior caso. Isso não apenas fortalecerá suas defesas, mas também garantirá a lealdade da equipe diretiva: Exercícios de mesa para crises de violações são uma ótima ferramenta para identificar lacunas na comunicação ou conscientização de procedimentos de emergência em caso de violação. Como parte do exercício de mesa, aproveite a oportunidade para revisar responsabilidades e comunicações e utilize a matriz RACI como uma ferramenta para definir como melhorar as comunicações entre CISO/CTO/CIO e outras funções executivas para assuntos de segurança.
5. A equipe jurídica como seus melhores amigos: Entenda como a conformidade e a regulamentação estão evoluindo para que você possa ajudar a moldar uma estratégia de segurança que minimize a exposição a riscos futuros. Os advogados sempre recebem bem novos amigos.
6. Reforce sua postura de segurança: Ao se associar a um provedor MDR, você ganha um aliado valioso na luta contra ameaças cibernéticas. Eles podem lidar com as tarefas do dia a dia e fornecer conhecimento especializado quando necessário, permitindo que sua equipe interna se concentre em estratégias de segurança de alto nível com tranquilidade.
Realizar estas atividades regularmente mostrará como a segurança pode reduzir proativamente o risco, construindo a credibilidade do CISO e da equipe que ele envolve para construir uma ponte entre a segurança e o desenvolvimento. Essas atividades fomentam a colaboração e o compartilhamento de informações para que, à medida que as equipes trabalham juntas, elas comecem a compartilhar a responsabilidade de manter as coisas seguras. Assim, em vez de se sentir como um passageiro, o CISO se torna um parceiro proativo, garantindo que a segurança seja considerada desde o início, permitindo que a inovação prospere em uma base segura dentro do departamento de TI.
Como um CISO pode ampliar sua voz na conversa de DevOps
Quando os CISOs não conseguem ampliar sua voz, as consequências podem ser graves. Práticas de segurança inadequadas expõem a organização a riscos legais e regulatórios. Mais importante ainda, deixam a porta aberta para violações custosas, como aconteceu com a SolarWinds, que sufocam a inovação e erodem a confiança dos clientes.
A liderança em segurança muitas vezes requer preencher a lacuna entre detalhes técnicos e objetivos comerciais mais amplos. Programas de treinamento focados em comunicação clara e negociação poderiam capacitá-lo a colaborar de forma mais eficaz com colegas e garantir recursos cruciais para a equipe de segurança. Avaliações de segurança, relatórios do setor e exemplos de violações do mundo real podem quantificar o impacto financeiro potencial de falhas de segurança, tornando a conversa sobre mitigação de riscos uma discussão comercial convincente.
Ao demonstrar como práticas de segurança robustas podem aprimorar a inovação, melhorar a confiança dos clientes e, em última análise, impulsionar o crescimento comercial, os CISOs podem encontrar um terreno comum com os CTOs que priorizam agilidade e eficiência. Alinhar as recomendações de segurança com os objetivos existentes do CTO, como ciclos de desenvolvimento mais rápidos, promove uma situação ganha-ganha. Aqui, os CISOs podem aproveitar seu entendimento do ambiente de nuvem equipando-se com cursos de treinamento especializados em nuvem AWS. Isso não apenas fortalece sua experiência técnica, mas também permite que falem a mesma linguagem que seus colegas de DevOps, facilitando a colaboração mais suave em implantações em nuvem seguras e eficientes.
A comunicação aberta e a confiança são os alicerces da colaboração eficaz. Discutir regularmente as implicações de segurança ao longo do ciclo de desenvolvimento, não apenas como um obstáculo de última hora, permite que os CISOs abordem preocupações e evitem possíveis obstáculos a tempo. Portanto, falar a linguagem do CTO é fundamental nesse papel.
A Detecção e Resposta Gerenciada (MDR) vai além de ser apenas uma ferramenta de segurança. Ela atua como um amplificador para a voz do CISO na conversa de DevOps. O ritmo acelerado do DevOps pode fazer até os CISOs mais habilidosos se sentirem constantemente em desvantagem. As equipes de segurança estão esticadas ao limite, lutando para monitorar ambientes complexos, detectar ameaças sofisticadas e acompanhar o panorama de ameaças em constante evolução. É aqui que a MDR da UnderDefense surge como um multiplicador de força poderoso para os CISOs no ambiente de DevOps.
Aqui está como o MDR capacita os CISOs a influenciar o desenvolvimento seguro:
Monitoramento 24/7 de Conformidade e Detecção Proativa de Ameaças: Os serviços MDR fornecem monitoramento contínuo e inteligência avançada de ameaças, permitindo que os CISOs abordem proativamente preocupações de segurança antes que se tornem problemas. Isso libera as equipes de segurança para se concentrarem em iniciativas estratégicas e promove um ambiente de colaboração onde a segurança é preventiva, não reativa.
Sistema de Alerta Antecipado para Fendas de Segurança: O MDR vai além do monitoramento tradicional, detectando anomalias em padrões de acesso, comportamento do usuário e configurações do sistema. Isso permite identificar possíveis ameaças internas ou más configurações introduzidas por equipes de DevOps. Ao fornecer alertas em tempo real de possíveis riscos de segurança, os CISOs podem trabalhar com as equipes de desenvolvimento para resolvê-los antes que se tornem vulnerabilidades exploráveis.
Avaliações, exercícios de mesa e a capacidade de trazer especialistas externos, como uma equipe MDR, destacarão quaisquer lacunas de comunicação dentro da organização. Decidir o que precisa ser comunicado e escalado para quem é extremamente importante para utilizar recursos de forma eficaz e elevar a visibilidade para questões de segurança importantes. Identificar as principais categorias de preocupação e quem precisa ser informado e envolvido é fundamental para operações de segurança bem-sucedidas e para um negócio de sucesso. Revisar e formalizar comunicações pode economizar tempo durante uma emergência, como um violação.
A matriz RACI é apenas um exemplo, destacando a importância de estabelecer modelos claros de comunicação dentro do DevOps. Ao implementar esses modelos e integrá-los às políticas de segurança, os CISOs podem obter alavancagem significativa, garantindo que a segurança seja tecida na estrutura do DevOps, não apenas adicionada como uma reflexão tardia.
Por fim, a matriz enfatiza um aspecto crucial do papel de um CISO: estabelecer forte apoio do Conselho. Essa aliança é essencial para estabelecer a segurança como uma prioridade estratégica e garantir os recursos necessários para uma postura de segurança robusta.
Uma equipe de segurança forte ainda é essencial
O ritmo acelerado do DevOps pode fazer até os CISOs mais habilidosos lutarem para acompanhar as ameaças. O MDR capacita os CISOs a realizar a transição de combate reativo para caça proativa de ameaças. Em vez de corrigir vulnerabilidades após uma violação, o MDR ajuda a identificá-las e remediá-las antes que possam ser exploradas. Essa abordagem proativa minimiza os riscos de segurança e promove uma cultura de “segurança por design” dentro do pipeline de DevOps.
Enquanto o MDR adiciona valor significativo, ele não substitui uma equipe de segurança interna forte. Profissionais de segurança continuam vitais para:
Manter a Consciência Situacional: A equipe de segurança interpreta os dados e alertas gerados pelo MDR, fornecendo contexto e priorizando ameaças.
Responder a Incidentes: Funcionários de segurança com profunda expertise em resposta a incidentes são cruciais para conter e remediar efetivamente violações de segurança.
Gerenciar Requisitos de Segurança: A equipe de segurança garante que os requisitos de segurança sejam integrados ao pipeline de DevSecOps, fomentando uma cultura de “segurança por design”.
Também preparamos o Guia do Comprador MDR mais abrangente da UnderDefense para sua atenção, que o capacita a escolher o parceiro MDR perfeito, protegendo seus dados e operações comerciais. Ele fornece insights especializados independentes para ajudá-lo a tomar decisões informadas.
A principal lição: a colaboração é fundamental
Embora o motor de influência do CISO o equipe com ferramentas poderosas, a segurança continua sendo um esforço colaborativo. Construir pontes com o CTO e fomentar uma comunicação aberta com as equipes de desenvolvimento são os alicerces de um ambiente de DevOps verdadeiramente seguro. Ao empunhar sua influência de forma efic