Introdução
O ataque de ransomware à pipeline Colonial e o ataque de cadeia de suprimentos da SolarWinds foram mais do que vazamentos de dados; foram mudanças sísmicas na cibersegurança. Esses ataques expuseram um desafio crítico para os Chief Information Security Officers (CISOs): manter sua posição enquanto mantêm o controle sobre a segurança na nuvem no mundo acelerado do DevOps. O problema foi enfatizado pelos ataques de dados do Capital One, Epsilon, comprometimentos do Magecart e violações do MongoDB, onde hackers exploraram um bucket S3 da AWS mal configurado. Uma forte colaboração entre CISOs e equipes de DevOps em configurações adequadas de segurança na nuvem poderia ter evitado as violações.
Mais do que a luta contra hackers e as consequências de seus ataques, vários problemas importantes se destacam: a evolução do papel e das responsabilidades do CISO e o desafio de melhorar a segurança na nuvem, e como as equipes de operações de segurança colaboram com as unidades de negócios no frenesi da transformação digital.
Observando os conflitos SecOps vs. DevOps em organizações de diferentes tipos, tentaremos navegar em um cenário complexo de liderança em cibersegurança, particularmente sua relação dinâmica com o Chief Technology Officer (CTO). À medida que o papel do CISO se torna mais importante do que nunca, focaremos em capacitar ainda mais os CISOs para se tornarem vozes influentes na tomada de decisões, garantindo que a segurança ocupe seu lugar legítimo nas práticas do DevOps.
Também sugeriremos algumas maneiras para os CISOs se comunicarem com a liderança de TI, a fim de educar e aumentar a conscientização sobre questões de segurança urgentes. Em última análise, apenas parcerias sólidas entre CISOs, equipes de DevOps e gerenciamento de TI podem melhorar os processos de desenvolvimento que impulsionam a inovação sem comprometer a segurança.
Os riscos para um CISO estão mais altos do que nunca
Imagine um carro de corrida acelerando na pista de desenvolvimento. O CTO, no volante, pressiona a inovação vertiginosa. Mas no banco de trás, o CISO transpira, segurando o freio de mão metafórico da segurança. Este é o dilema constante para os CISOs na era do DevOps: manter o controle sobre a segurança em um ambiente de desenvolvimento ultra-rápido.
Podemos concordar que anteriormente, a segurança muitas vezes era pensada tardiamente, adicionada às aplicações muito depois de serem construídas. O DevOps, ao promover agilidade, pode introduzir vulnerabilidades se a segurança não for cuidada desde o início. Equipes de desenvolvimento bem-sucedidas focadas na velocidade podem inadvertidamente introduzir lacunas de segurança. Abordagens de segurança legadas, dependentes de processos manuais e recursos limitados, simplesmente não conseguem acompanhar o ritmo acelerado do DevOps.
Uma visão moderna da gestão de TI coloca o CTO na vanguarda das preocupações empresariais relacionadas à tecnologia, incluindo a migração de toda a infraestrutura para a nuvem, enquanto o CISO se concentra na segurança, e a proteção da nuvem se torna uma das principais prioridades. O ritmo das mudanças e a arquitetura completamente nova, no caso da nuvem, apresentam novos desafios para os CISOs que enfrentam um ambiente em constante mudança. É importante adaptar seu estilo de comunicação para colaborar efetivamente com os CTOs, que estão cada vez mais focados em trazer inovações e impulsionar o crescimento dos negócios.
Consequências do mundo real para um CISO
A denúncia da Security and Exchange Commission alega que a SolarWinds não divulgou informações materiais adequadas aos investidores sobre os riscos cibernéticos. A denúncia afirma que a empresa e seu CISO Timothy Brown apenas divulgaram riscos genéricos e hipotéticos, apesar do conhecimento interno de deficiências específicas nas práticas de cibersegurança da SolarWinds e de uma possibilidade de ameaça elevada.
Os casos mais infames que todos deveriam estar cientes, como os violações do SolarWinds e da Uber, não foram apenas violações de dados. Eles foram alertas. As repercussões legais para falhas de segurança são uma preocupação crescente, com a SEC exigindo que empresas públicas divulguem incidentes dentro de quatro dias e exijam planos de segurança detalhados. Isso coloca uma pressão imensa sobre CISOs como Joe Sullivan (ex-Chief Security Officer da Uber) e Timothy G. Brown (ex-CISO da SolarWinds), que podem enfrentar acusações criminais por não implementar salvaguardas adequadas.
Esses incidentes destacam o delicado equilíbrio que os CISOs enfrentam na era do DevOps. As metodologias do DevOps priorizam velocidade e agilidade, o que pode estar em desacordo com a necessidade de práticas rigorosas de segurança. Os CISOs podem navegar nessa corda bamba de forma mais eficaz enquanto garantem que a inovação não comprometa a segurança?
Um CISO precisa preencher a lacuna
Nos primeiros dias do DevOps, os CISOs muitas vezes se sentiam como passageiros sem cinto de segurança em um mundo novo e acelerado, onde a velocidade reinava suprema e a segurança ficava para trás. Promover práticas de segurança sem impactar a velocidade de desenvolvimento pode ser desafiador. A influência do CISO permite que eles colaborem efetivamente com equipes de DevOps e garantam que a segurança não seja um pensamento após o fato.
Aqui estão as principais atividades em que um CISO pode se envolver para preencher a lacuna:
1. Envolva autoridades externas – como auditores: Parcerias com empresas de segurança respeitáveis e torná-las seus aliados oferece experiência e evidências sólidas para apoiar suas preocupações. Essas avaliações independentes podem não apenas identificar vulnerabilidades, mas fornecer provas de riscos potenciais e evidências de que o negócio poderia desabar.
2. Testes práticos por meio de exercícios de Red Teaming: Os exercícios de Red Teaming são como simulados de incêndio de segurança. Ao dar a uma equipe de pentesters uma missão específica, esses exercícios mostram o impacto potencial de uma violação na organização. Ver dados financeiros confidenciais comprometidos ou todos os papéis de parede de uma organização alterados via uma política de grupo GPO ou acesso terraformado – pode ser um poderoso alerta para o CTO e equipes de desenvolvimento, destacando a importância de medidas de segurança robustas.
3. Implemente scanners regulares de vulnerabilidades e monitoramento contínuo da superfície de ataque externa para toda a periferia: Avaliações profissionais de ambientes em nuvem (AWS, Azure, etc.) descobrem configurações de segurança mal configuradas que poderiam deixar a organização vulnerável. Essas avaliações fornecem dados concretos que podem ser usados para influenciar decisões sobre investimentos em segurança e práticas de DevSecOps.
4. Reúna seu conselho em conjunto para definir papéis claros e responsabilidades para um exercício simulado de resposta a incidentes, promovendo um ambiente colaborativo onde todos trabalham juntos para resolver um cenário de pior caso. Isso não apenas fortalecerá suas defesas, mas também conquistará a fidelidade do conselho executivo: os exercícios de mesa para crises de violações são uma ótima ferramenta para identificar lacunas na comunicação ou conscientização de procedimentos de emergência em caso de violação. Como parte do exercício de mesa, aproveite a oportunidade para revisar responsabilidades e comunicações e utilize a matriz RACI como ferramenta para definir como melhorar as comunicações entre CISO/CTO/CIO e outras funções executivas para questões de segurança.
5. A equipe jurídica como os melhores amigos: Entenda como a conformidade e a regulamentação estão evoluindo para que você possa ajudar a moldar uma estratégia de segurança que minimize futuras exposições ao risco. Advogados sempre recebem novos amigos.
6. Reforce sua postura de segurança: Ao se associar a um provedor de MDR, você ganha um aliado valioso na luta contra ameaças cibernéticas. Eles podem lidar com as tarefas do dia a dia e fornecer conhecimento especializado quando necessário, permitindo que sua equipe interna se concentre em estratégias de segurança de alto nível com tranquilidade.
Realizadas regularmente, essas atividades demonstrarão como a segurança pode reduzir proativamente o risco, construindo a credibilidade do CISO e da equipe que ele engaja para construir uma ponte entre segurança e desenvolvimento. Essas atividades impulsionam a colaboração e o compartilhamento de informações para que, à medida que as equipes trabalham juntas, elas comecem a compartilhar a responsabilidade de manter as coisas seguras. Portanto, em vez de se sentir como um passageiro, o CISO se torna um parceiro proativo, garantindo que a segurança seja considerada desde o início, permitindo que a inovação floresça em uma base segura dentro do departamento de TI.
Como um CISO pode amplificar sua voz na conversa do DevOps
Quando os CISOs não podem ampliar sua voz, as consequências podem ser graves. Práticas de segurança inadequadas expõem a organização a riscos legais e regulatórios. Mais importante ainda, deixam a porta aberta para violações custosas, como ocorreu com a SolarWinds, que sufocam a inovação e corroem a confiança do cliente.
A liderança em segurança muitas vezes requer preencher a lacuna entre detalhes técnicos e objetivos comerciais mais amplos. Programas de treinamento focados em comunicação clara e negociação podem capacitá-lo a colaborar de forma mais eficaz com colegas e garantir recursos fundamentais para a equipe de segurança. Avaliações de segurança, relatórios setoriais e exemplos reais de violações podem quantificar o impacto financeiro potencial das falhas de segurança, tornando a conversa sobre mitigação de riscos uma discussão comercial convincente. Ao demonstrar como práticas robustas de segurança podem aprimorar a inovação, melhorar a confiança dos clientes e, em última instância, impulsionar o crescimento dos negócios, os CISOs podem encontrar um terreno comum com os CTOs que priorizam agilidade e eficiência. Alinhar recomendações de segurança com os objetivos existentes do CTO, como ciclos de desenvolvimento mais rápidos, promove uma situação vantajosa para ambas as partes. Aqui, os CISOs podem aproveitar seu entendimento do ambiente de nuvem, equipando-se com cursos especializados em nuvem AWS. Isso não apenas fortalece sua expertise técnica, mas também permite que falem a mesma linguagem de seus colegas de DevOps, facilitando uma colaboração mais suave em implantações seguras e eficientes na nuvem.
A comunicação aberta e a confiança são fundamentais para uma colaboração eficaz. Discutir regularmente as implicações de segurança durante todo o ciclo de desenvolvimento, não apenas como um obstáculo de última hora, permite que os CISOs abordem preocupações e evitem possíveis obstáculos a tempo. Portanto, falar a linguagem do CTO é fundamental neste papel.
O Managed Detection and Response (MDR) vai além de ser apenas uma ferramenta de segurança. Ele atua como um amplificador para a voz do CISO na conversa do DevOps. O ritmo acelerado do DevOps pode fazer com que mesmo os CISOs mais habilidosos se sintam constantemente em uma situação de atraso. As equipes de segurança estão sobrecarregadas, lutando para monitorar ambientes complexos, detectar ameaças sofisticadas e acompanhar o cenário de ameaças em constante evolução. É aqui que o MDR da UnderDefense surge como um multiplicador de forças poderoso para os CISOs no ambiente de DevOps.
Aqui está como o MDR capacita os CISOs a influenciar o desenvolvimento seguro:
– Monitoramento contínuo 24/7 e detecção proativa de ameaças: Os serviços de MDR fornecem monitoramento contínuo e inteligência avançada de ameaças, permitindo que os CISOs abordem proativamente preocupações de segurança antes que se tornem problemas. Isso libera as equipes de segurança para se concentrarem em iniciativas estratégicas e fomenta um ambiente colaborativo onde a segurança é preventiva, não reativa.
– Sistema de alerta precoce para lacunas de segurança: O MDR vai além do monitoramento tradicional, detectando anomalias nos padrões de acesso, comportamento do usuário e configurações do sistema. Isso permite identificar possíveis ameaças internas ou configurações incorretas introduzidas pelas equipes de DevOps. Ao fornecer alertas em tempo real de riscos potenciais de segurança, os CISOs podem trabalhar com equipes de desenvolvimento para resolvê-los antes que se tornem vulnerabilidades exploráveis.
Avaliações, exercícios de mesa e a capacidade de trazer especialistas externos, como uma equipe de MDR, destacarão quaisquer lacunas de comunicação dentro da organização. Decidir o que precisa ser comunicado e escalonado para quem é extremamente importante para usar recursos de forma eficaz e aumentar a visibilidade sobre questões de segurança importantes. Identificar as categorias-chave de preocupação e quem precisa ser informado e envolvido é fundamental para operações de segurança bem-sucedidas e para um negócio de sucesso. Rever e formalizar as comunicações pode economizar tempo durante uma emergência, como uma violação.
A matriz RACI é apenas um exemplo, destacando a importância de estabelecer modelos claros de comunicação dentro do DevOps. Ao implementar esses modelos e integrá-los às políticas de segurança, os CISOs podem obter alavancagem significativa, garantindo que a segurança esteja entrelaçada na essência do DevOps, não adicionada como uma reflexão tardia.
Por fim, a matriz enfatiza um aspecto crucial do papel de um CISO: estabelecer um forte apoio do Conselho. Esse alinhamento é essencial para estabelecer a segurança como uma prioridade estratégica e garantir os recursos necessários para uma postura de segurança robusta.
Uma equipe de segurança sólida ainda é essencial
O ritmo acelerado do DevOps pode deixar até os CISOs mais habilidosos lutando para acompanhar as ameaças. O MDR capacita os CISOs a fazer a transição de combate reativo para caça proativa de ameaças. Em vez de corrigir vulnerabilidades após uma violação, o MDR ajuda a identificá-las e remediar antes que possam ser exploradas. Essa abordagem proativa minimiza os riscos de segurança e fomenta uma cultura de “segurança por design” dentro do pipeline do DevOps.
Embora o MDR adicione um valor significativo, ele não substitui uma equipe interna de segurança forte. Profissionais de segurança continuam vitais para:
– Manter a consciência situacional: a equipe de segurança interpreta dados e alertas gerados pelo MDR, fornecendo contexto e priorizando ameaças.
– Responder a incidentes: pessoal de segurança com profunda expertise em resposta a incidentes é crucial para conter e remediar efetivamente violações de segurança.
– Gerenciar requisitos de segurança: a equipe de segurança garante que os requisitos de segurança sejam integrados ao pipeline DevSecOps, fomentando uma cultura de “segurança por design”.
Também preparamos o mais abrangente Guia do Comprador de MDR da UnderDefense para sua atenção, que o capacita a escolher o parceiro MDR perfeito, protegendo seus dados e operações comerciais. Ele fornece insights de especialistas independentes para ajudá-lo a tomar decisões informadas.
A principal conclusão: a colaboração é fundamental
Embora a máquina de influência do CISO o equipe com ferramentas poderosas, a segurança continua sendo um esforço colaborativo. Construir pontes com o CTO e promover a comunicação aberta com as equipes de desenvolvimento são os alicerces de um ambiente DevOps verdadeiramente seguro. Ao usar sua influência de forma eficaz e colaborar entre departamentos, os CISOs podem garantir que a segurança se torne parte integrante do processo do DevOps, permitindo que a inovação floresça sem sacrificar a segurança na estrada da cibersegurança.
O ritmo acelerado do DevOps pode criar um dilema de seg
