Você está visualizando atualmente Dilema do DevOps: Como os CISOs Podem Recuperar o Controle na Era da Velocidade

Dilema do DevOps: Como os CISOs Podem Recuperar o Controle na Era da Velocidade

Introdução
O infame ataque de ransomware ao pipeline colonial (2021) e o ataque de cadeia de suprimentos SolarWinds (2020) foram mais do que vazamentos de dados; eles foram mudanças sísmicas em cibersegurança. Esses ataques expuseram um desafio crítico para os Chefes de Segurança de Informações (CISOs): manter sua posição enquanto mantêm o controle sobre a segurança em nuvem no mundo acelerado do DevOps. O problema foi enfatizado pelo violação de dados do Capital One (2019), violação de dados da Epsilon (2019), compromissos do Magecart (em curso) e violações da MongoDB (2023-), onde hackers exploraram um bucket AWS S3 mal configurado. Uma forte colaboração entre CISOs e equipes de DevOps em configurações adequadas de segurança em nuvem poderia ter evitado as violações.

Mais do que a luta contra hackers e as consequências de seus ataques, vários problemas importantes se destacam – a evolução do papel e responsabilidades do CISO e o desafio de melhorar a segurança em nuvem, e como as equipes de operações de segurança colaboram com unidades de negócios na agitação da transformação digital.

Observando conflitos de SecOps vs. DevOps em organizações de diferentes tipos, tentaremos navegar por um cenário complexo de liderança em cibersegurança, especialmente sua relação dinâmica com o Chief Technology Officer (CTO). À medida que o papel do CISO se torna mais importante do que nunca, focaremos em capacitar ainda mais os CISOs para se tornarem vozes influentes nas tomadas de decisão, garantindo que a segurança ocupe seu lugar de direito nas práticas de DevOps.

Também sugeriremos algumas maneiras para os CISOs se comunicarem com a liderança de TI, a fim de educar e aumentar a conscientização sobre questões de segurança urgentes. No final, apenas parcerias fortes entre CISOs, equipes de DevOps e gerenciamento de TI podem melhorar os processos de desenvolvimento que impulsionam a inovação sem comprometer a segurança.

Os riscos para um CISO são maiores do que nunca
Imagine um carro de corrida acelerando na pista de desenvolvimento. O CTO, ao volante, pressiona para inovações ousadas. Mas no banco de trás, o CISO transpira, segurando o freio de mão metafórico da segurança. Este é o dilema sempre presente para os CISOs na era do DevOps: manter o controle sobre a segurança em um ambiente de desenvolvimento extremamente veloz.

Podemos concordar que anteriormente, a segurança frequentemente vinha como uma reflexão tardia, adicionada às aplicações muito depois de serem construídas. O DevOps, ao promover agilidade, pode introduzir vulnerabilidades se a segurança não for tratada desde o início. Equipes de desenvolvimento bem-sucedidas focadas na velocidade podem inadvertidamente introduzir lacunas de segurança. Abordagens de segurança legadas, dependentes de processos manuais e recursos limitados, simplesmente não conseguem acompanhar o ritmo acelerado do DevOps.

Uma visão moderna da gestão de TI coloca o CTO na vanguarda das preocupações comerciais relacionadas à tecnologia, incluindo a movimentação de toda a infraestrutura para a nuvem, enquanto o CISO se concentra na segurança, e garantir a segurança na nuvem se torna uma das principais prioridades. O ritmo das mudanças e a arquitetura completamente nova, no caso da nuvem, apresentam novos desafios para os CISOs que enfrentam um ambiente constantemente em mudança. É importante adaptar seu estilo de comunicação para colaborar efetivamente com os CTOs, que estão cada vez mais focados em trazer inovações e impulsionar o crescimento dos negócios.

Consequências do mundo real para CISO
A denúncia da Comissão de Valores Mobiliários (SEC) alega que a SolarWinds deixou de divulgar informações materiais adequadas aos investidores sobre os riscos de segurança cibernética. A denúncia afirma que a empresa e seu CISO Timothy Brown divulgaram apenas riscos genéricos e hipotéticos, apesar do conhecimento interno de deficiências específicas nas práticas de segurança cibernética da SolarWinds e de uma possibilidade elevada de ameaças.

Os casos mais infames que todos devem estar cientes, as violações do SolarWinds e do Uber, não foram apenas violações de dados. Foram chamadas de despertar. As repercussões legais para falhas de segurança são uma preocupação crescente, com a SEC exigindo que empresas públicas divulguem incidentes em quatro dias e exijam planos de segurança detalhados. Isso coloca uma pressão imensa sobre os CISOs como Joe Sullivan (ex-Chief Security Officer do Uber) e Timothy G. Brown (ex-CISO da SolarWinds), que poderiam enfrentar acusações criminais por não implementar salvaguardas adequadas.

Estes incidentes destacam o delicado ato de equilíbrio que CISOs enfrentam na era do DevOps. As metodologias DevOps priorizam velocidade e agilidade, o que pode entrar em conflito com a necessidade de práticas de segurança rigorosas. Será que os CISOs conseguem navegar nesta corda bamba de forma mais eficaz, garantindo que a inovação não venha com o custo da segurança?

CISO precisa diminuir a lacuna
Nos primeiros dias do DevOps, os CISOs muitas vezes se sentiram como passageiros sem cintos de segurança em um mundo novo e acelerado, onde a velocidade reinava supremo e a segurança ficava para trás. Promover práticas de segurança sem impactar a velocidade de desenvolvimento pode ser desafiador. A influência do CISO os capacita a colaborar de forma eficaz com as equipes de DevOps e garantir que a segurança não seja uma reflexão tardia.

Aqui estão as principais atividades em que um CISO pode se envolver para diminuir a lacuna:

1. Envolva autoridades externas – como auditores: Parcerias com empresas de segurança respeitáveis ​​e torná-las suas aliadas proporciona expertise e evidências concretas para apoiar suas preocupações. Essas avaliações independentes não apenas podem identificar vulnerabilidades, mas fornecem evidências de riscos potenciais e indícios de que o negócio poderia ser derrubado.
2. Testes práticos por meio de exercícios de Red Teaming: Exercícios de red teaming são como simulacros de incêndio de segurança. Ao dar a uma equipe de pentesters um saldo de cartão para concluir a missão, esses exercícios mostram o impacto potencial de uma violação na organização. Ver dados financeiros sensíveis comprometidos ou todos os papéis de parede de uma organização alterados por meio de um GPO ou acesso ao terraform pode ser um poderoso despertar para o CTO e equipes de desenvolvimento, destacando a importância de medidas de segurança robustas.
3. Implementar verificações regulares de vulnerabilidades e monitoramento contínuo da superfície de ataque externo para todo o perímetro: Avaliações profissionais dos ambientes em nuvem (AWS, Azure, etc.) descobrem configurações de segurança mal configuradas que poderiam deixar a organização vulnerável. Essas avaliações fornecem dados concretos que podem ser usados para influenciar decisões sobre investimentos em segurança e práticas de DevSecOps.
4. Reúna sua diretoria para definir papéis claros e responsabilidades para um exercício simulado de resposta a incidentes, promovendo um ambiente colaborativo onde todos trabalham juntos para resolver um cenário de pior caso. Isso não apenas fortalecerá suas defesas, mas também ganhará a lealdade da diretoria: Exercícios de mesa para crises de violação são uma ótima ferramenta para identificar lacunas na comunicação ou conscientização de procedimentos de emergência em caso de violação. Como parte do exercício de mesa, aproveite a oportunidade para revisar responsabilidades e comunicações e utilize a matriz RACI como uma ferramenta para definir como melhorar as comunicações entre CISO/CTO/CIO e outras funções executivas para assuntos de segurança.
5. Equipe jurídica como seus melhores amigos: Entenda como a conformidade e a regulamentação estão evoluindo para que possa ajudar a moldar uma estratégia de segurança que minimize a exposição a riscos futuros. Advogados sempre recebem novos amigos.
6. Reforce sua postura de segurança: Ao se associar a um provedor de MDR, você obtém um aliado valioso na luta contra ameaças cibernéticas. Eles podem lidar com as tarefas diárias e fornecer conhecimento especializado quando necessário, permitindo que sua equipe interna se concentre em estratégias de segurança de alto nível com tranquilidade.

Realizadas regularmente, essas atividades demonstrarão como a segurança pode reduzir proativamente o risco, construindo a credibilidade do CISO e da equipe que ele envolve para construir uma ponte entre segurança e desenvolvimento. Essas atividades promovem a colaboração e o compartilhamento de informações para que, à medida que as equipes trabalham juntas, elas começarão a assumir a responsabilidade por manter as coisas seguras. Assim, em vez de se sentir como um passageiro, o CISO se torna um parceiro proativo, garantindo que a segurança seja considerada desde o início, permitindo que a inovação floresça em uma base segura dentro do departamento de TI.

Como um CISO pode ampliar sua voz na conversa de DevOps
Quando os CISOs não conseguem ampliar sua voz, as consequências podem ser devastadoras. Práticas de segurança inadequadas expõem a organização a riscos legais e regulatórios. Mais importante, deixam a porta aberta para violações custosas, como aconteceu com a SolarWinds, que sufocam a inovação e erodem a confiança do cliente.

Liderança em segurança frequentemente requer a ponte entre detalhes técnicos e objetivos de negócios mais amplos. Programas de treinamento focados em comunicação clara e negociação podem empoderá-lo a colaborar de forma mais eficaz com colegas e garantir os recursos cruciais para a equipe de segurança. Avaliações de segurança, relatórios da indústria e exemplos reais de violações podem quantificar o impacto financeiro potencial de falhas de segurança, tornando a conversa sobre mitigação de riscos uma discussão comercial convincente.

Ao demonstrar como práticas robustas de segurança podem aprimorar a inovação, melhorar a confiança dos clientes e, por fim, impulsionar o crescimento dos negócios, os CISOs podem encontrar pontos em comum com os CTOs que priorizam agilidade e eficiência. Alinhar recomendações de segurança com os objetivos existentes do CTO, como ciclos de desenvolvimento mais rápidos, promove uma situação de ganha-ganha. Aqui, os CISOs podem alavancar seu entendimento do ambiente de nuvem, equipando-se com cursos especializados em nuvem AWS. Isso não apenas fortalece sua expertise técnica, mas também permite que falem a mesma linguagem de seus colegas de DevOps, facilitando uma colaboração mais suave em implantações seguras e eficientes na nuvem.

A comunicação aberta e a confiança são a base de uma colaboração eficaz. Discutir regularmente as implicações de segurança ao longo do ciclo de desenvolvimento, não apenas como um obstáculo de última hora, permite que os CISOs abordem preocupações e evitem possíveis obstáculos a tempo. Portanto, falar a linguagem do CTO é fundamental neste papel.

A Detecção e Resposta Gerenciada (MDR) vai além de ser apenas uma ferramenta de segurança. Ela atua como um amplificador para a voz do CISO na conversa de DevOps. O ritmo acelerado do DevOps pode deixar até mesmo os CISOs mais habilidosos sentindo que estão constantemente correndo atrás. As equipes de segurança estão sobrecarregadas, lutando para monitorar ambientes complexos, detectar ameaças sofisticadas e acompanhar a paisagem de ameaças em constante evolução. É aí que o MDR da UnderDefense surge como um multiplicador de força poderoso para os CISOs no ambiente de DevOps.

Aqui estão como o MDR capacita CISOs a influenciar o desenvolvimento seguro:

– Monitoramento e Detecção de Ameaças Proativas em Conformidade 24/7: Os serviços MDR fornecem monitoramento contínuo e inteligência avançada de ameaças, permitindo que os CISOs enfrentem proativamente as preocupações de segurança antes que elas se tornem problemas. Isso libera as equipes de segurança para se concentrarem em iniciativas estratégicas e fomenta um ambiente colaborativo onde a segurança é preventiva, não reativa.

– Sistema de Alerta Antecipado para Lacunas de Segurança: O MDR vai além do monitoramento tradicional, detectando anomalias nos padrões de acesso, comportamento do usuário e configurações do sistema. Isso permite identificar ameaças potenciais internas ou misconfigurations introduzidos por equipes de DevOps. Fornecendo alertas em tempo real de possíveis riscos de segurança, os CISOs podem trabalhar com as equipes de desenvolvimento para abordá-los antes que se tornem vulnerabilidades exploráveis.

Avaliações, exercícios de mesa e a capacidade de trazer especialistas externos, como uma equipe de MDR, destacarão quaisquer lacunas de comunicação dentro da organização. Decidir o que precisa ser comunicado e escalado para quem é extremamente importante para usar os recursos de forma eficaz e aumentar a visibilidade das preocupações importantes de segurança. Identificar as principais categorias de preocupação e quem precisa ser informado e envolvido é fundamental para operações de segurança bem-sucedidas e um negócio bem-sucedido. Rever e formalizar as comunicações pode economizar tempo durante uma emergência, como uma violação.

A matriz RACI é apenas um exemplo, destacando a importância de estabelecer modelos claros de comunicação dentro do DevOps. Ao implementar tais modelos e integrá-los às políticas de segurança, os CISOs podem obter alavancagem significativa, garantindo que a segurança seja entrelaçada na estrutura do DevOps, não adicionada como uma reflexão tardia.

Por fim, a matriz enfatiza um aspecto crucial do papel de um CISO: estabelecer um forte apoio do Conselho de Administração. Essa aliança é essencial para estabelecer a segurança como uma prioridade estratégica e garantir os recursos necessários para uma postura de segurança robusta.

Uma equipe de segurança forte ainda é essencial
O ritmo acelerado do DevOps pode deixar até mesmo os CISOs mais habilidosos lutando para acompanhar as ameaças. O MDR capacita os CISOs a fazer a transição de combate reativo para caça proativa de ameaças. Em vez de corrigir vulnerabilidades após uma violação, o MDR ajuda a identificar e remediar antes que possam ser exploradas. Essa abordagem proativa minimiza os riscos de segurança e fomenta uma cultura de “segurança por design” dentro do pipeline de DevOps.

Embora o MDR acrescente um valor significativo, ele não substitui uma forte equipe interna de segurança. Profissionais de segurança ainda são vitais para:

– Manter a Consciência Situacional: A equipe de segurança interpreta dados e alertas gerados pelo MDR, fornecendo contexto e priorizando ameaças.
– Responder a Incidentes: Pessoal de segurança com profunda experiência em resposta a incidentes são cruciais para conter e remediar efetivamente violações de segurança.
– Gerenciar Requisitos de Segurança: A equipe de segurança garante que os requisitos de segurança sejam integrados ao pipeline de DevSecOps, promovendo uma cultura de “segurança por design”.

Também preparamos o mais abrangente Guia de Compras de MDR da UnderDefense para sua atenção, que o capacita a escolher o parceiro de MDR perfeito, salvaguardando seus dados e operações comerciais. Ele fornece insights especializados independentes para ajudá-lo a tomar decisões informadas.

A principal lição: a colaboração é a chave
Embora o motor de influência do CISO os equipe com ferramentas poderosas, a segurança continua sendo um esforço colaborativo. Construir pontes com o CTO e fomentar a comunicação aberta com equipes de desenvolvimento são os alicerces de um ambiente DevOps verdadeiramente seguro. Ao usar sua influência de forma eficaz e colaborar entre os departamentos