O infame ataque de ransomware ao gasoduto Colonial (2021) e o ataque à cadeia de suprimentos da SolarWinds (2020) foram mais do que vazamentos de dados; foram mudanças sísmicas na cibersegurança. Esses ataques expuseram um desafio crítico para os Chief Information Security Officers (CISOs): manter sua posição ao mesmo tempo em que mantêm o controle sobre a segurança na nuvem no mundo acelerado do DevOps. O problema foi enfatizado pelas violações de dados do Capital One (2019), da Epsilon (2019), dos comprometimentos do Magecart (em curso) e das violações do MongoDB (2023-), onde hackers exploraram um bucket AWS S3 mal configurado. Uma forte colaboração entre CISOs e equipes de DevOps em configurações adequadas de segurança na nuvem poderia ter evitado as violações.
Mais do que a luta contra hackers e as consequências de seus ataques, vários problemas importantes se destacam —a evolução do papel e das responsabilidades do CISO e o desafio de melhorar a segurança na nuvem, e como as equipes de operações de segurança colaboram com as unidades de negócios na frenesi da transformação digital.
Observando os conflitos entre SecOps e DevOps dentro de organizações de diferentes tipos, tentaremos navegar por um cenário complexo de liderança em cibersegurança, particularmente sua relação dinâmica com o Chief Technology Officer (CTO). À medida que o papel do CISO se torna mais importante do que nunca, nos concentraremos em capacitar ainda mais os CISOs para se tornarem vozes influentes nas tomadas de decisão, garantindo que a segurança ocupe seu lugar legítimo nas práticas de DevOps.
Também sugeriremos algumas maneiras para os CISOs se comunicarem com a liderança de TI, a fim de educar e aumentar a conscientização sobre questões urgentes de segurança. No final das contas, apenas parcerias sólidas entre CISOs, equipes de DevOps e gerenciamento de TI podem melhorar os processos de desenvolvimento que impulsionam a inovação sem comprometer a segurança.
Os riscos para um CISO nunca foram tão altos.
Imagine um carro de corrida acelerando na pista de desenvolvimento. O CTO, ao volante, pressiona por inovações vertiginosas. Mas no banco de trás, o CISO transpira, segurando o freio de mão metafórico da segurança. Este é o dilema constante para os CISOs na era do DevOps: manter o controle sobre a segurança em um ambiente de desenvolvimento extremamente rápido.
Podemos concordar que anteriormente, a segurança muitas vezes vinha como uma reflexão tardia, fixada em aplicativos muito depois de construídos. O DevOps, ao promover a agilidade, pode introduzir vulnerabilidades se a segurança não for cuidada desde o início. Equipes de desenvolvimento bem-sucedidas focadas na velocidade podem inadvertidamente introduzir brechas de segurança. Abordagens de segurança legadas, dependentes de processos manuais e recursos limitados, simplesmente não conseguem acompanhar o ritmo acelerado do DevOps.
Uma visão moderna da gestão de TI coloca o CTO na vanguarda das preocupações comerciais relacionadas à tecnologia, inclusive movendo toda a infraestrutura para a nuvem, enquanto o CISO se concentra na segurança, e garantir a segurança na nuvem se torna uma das principais prioridades. O ritmo das mudanças e a arquitetura completamente nova, no caso da nuvem, apresentam novos desafios para os CISOs que enfrentam um ambiente em constante mudança. É importante adaptar seu estilo de comunicação para colaborar efetivamente com os CTOs, que estão cada vez mais focados em trazer inovações e impulsionar o crescimento dos negócios.
Consequências do mundo real para o CISO
A denúncia da Comissão de Valores Mobiliários (SEC) alega que a SolarWinds não divulgou informações materiais adequadas aos investidores sobre riscos de segurança cibernética. A denúncia afirma que a empresa e seu CISO Timothy Brown divulgaram apenas riscos genéricos e hipotéticos, apesar do conhecimento interno de deficiências específicas nas práticas de segurança cibernética da SolarWinds e de uma possibilidade aumentada de ameaças.
Os casos mais infames que todos devem estar cientes, SolarWinds e violações da Uber, não foram apenas vazamentos de dados. Foram chamados de atenção. As consequências legais por falhas de segurança são uma preocupação crescente, com a SEC exigindo que empresas públicas divulguem incidentes em quatro dias e exijam planos detalhados de segurança. Isso coloca uma pressão imensa sobre os CISOs como Joe Sullivan (ex-Chief Security Officer da Uber) e Timothy G. Brown (ex-CISO da SolarWinds), que poderiam enfrentar acusações criminais por deixar de implementar salvaguardas adequadas.
Esses incidentes destacam o delicado ato de equilíbrio que os CISOs enfrentam na era do DevOps. As metodologias DevOps priorizam velocidade e agilidade, o que pode estar em desacordo com a necessidade de práticas de segurança rigorosas. Os CISOs podem navegar neste equilíbrio de forma mais eficaz, garantindo que a inovação não venha ao custo da segurança?
O CISO precisa construir pontes
Nos primeiros dias do DevOps, os CISOs muitas vezes se sentiam como passageiros sem cintos de segurança em um mundo novo e acelerado, onde a velocidade reinava suprema e a segurança ficava para trás. Promover práticas de segurança sem impactar a velocidade de desenvolvimento pode ser desafiador. A influência do CISO os capacita a colaborar de forma eficaz com equipes de DevOps e garantir que a segurança não seja uma reflexão tardia.
Aqui estão as principais atividades em que um CISO pode se envolver para construir pontes:
1. Envolva autoridades externas – como auditores: Parcerias com empresas de segurança confiáveis e fazê-las seus aliados oferece expertise e evidências concretas para apoiar suas preocupações. Essas avaliações independentes não apenas podem identificar vulnerabilidades – mas também fornecer provas de riscos potenciais e evidências de que o negócio pode ser derrubado.
2. Testes práticos via Exercícios de Red Teaming: Os exercícios de red teaming são como simulações de incêndio de segurança. Ao dar a uma equipe de pentesters um cartão-balanceamento para concluir a missão, esses exercícios mostram o impacto potencial de uma violação na organização. Ver dados financeiros sensíveis comprometidos, ou todos os papéis de parede em uma organização alterada por meio de um GPO ou acesso do terraform – pode ser um poderoso chamado de atenção para o CTO e as equipes de desenvolvimento, destacando a importância de medidas de segurança robustas.
3. Implementar varreduras regulares de vulnerabilidades e monitoramento contínuo de superfície de ataque externa para todo o perímetro: Avaliações profissionais de ambientes de nuvem (AWS, Azure, etc.) descobrem configurações de segurança mal configuradas que podem deixar a organização vulnerável. Essas avaliações fornecem dados concretos que podem ser usados para influenciar decisões sobre investimentos em segurança e práticas de DevSecOps.
Induza seus diretores a definir papéis claros e responsabilidades para um exercício simulado de resposta a incidentes, promovendo um ambiente colaborativo no qual todos trabalham juntos para resolver um cenário de pior cenário. Isso não apenas fortalecerá suas defesas, mas também o conquistará a lealdade do conselho de administração: Exercícios de mesa para crises de violações são uma ótima ferramenta para identificar lacunas na comunicação ou conscientização de procedimentos de emergência em caso de violação. Como parte do exercício de mesa, aproveite a oportunidade para revisar responsabilidades e comunicações e utilize a matriz RACI como ferramenta para definir como melhorar a comunicação entre funções executivas de CISO/CTO/CIO e outras funções executivas para assuntos de segurança.
Equipe legal como seus melhores amigos: Entenda como a conformidade e a regulamentação estão evoluindo para que você possa ajudar a moldar uma estratégia de segurança que minimize a exposição a riscos futuros. Advogados sempre dão as boas-vindas a novos amigos.
Fortaleça sua postura de segurança: Ao se associar a um provedor MDR, você ganha um aliado valioso na luta contra ameaças cibernéticas. Eles podem lidar com as tarefas do dia a dia e fornecer conhecimentos especializados quando necessário, permitindo que sua equipe interna se concentre em estratégias de segurança de alto nível com tranquilidade.
