Nos últimos dois anos, pessoas e empresas compreenderam que a aplicação é o negócio. Trata-se de sistemas como um Internet Banking, a plataforma que oferece serviços de telemedicina, o Engine por trás do portal Web de uma empresa de varejo. Para gerar crescimento, esses sistemas core precisam entregar uma excelente UX. A fluidez da economia digital e a facilidade de, em um clique, mudar para outro fornecedor, tem levado as aplicações a passar por processos de expansão e de transformação. Segundo o estudo State of Application Strategy 2021, realizado pela F5 em março do ano passado a partir de entrevistas com 1500 CIOs e CISOs – incluindo 125 executivos do Brasil e da América Latina –, 77% do universo pesquisado está modernizando suas aplicações.
O outro lado desse contexto é que 95% dos líderes entrevistados reconhecem ter poucos insights sobre a segurança e o desempenho desses sistemas críticos. É comum enfrentarem dificuldades para identificar a causa raiz dos problemas enfrentados pela aplicação, chegando a ter dúvidas sobre o que é uma falha de desempenho, o que é um ataque.
Essa é uma realidade enfrentada pelas organizações que utilizam metodologias ágeis de desenvolvimento de suas aplicações. É uma abordagem em que se incorpora novas ferramentas, automatiza-se e modifica-se a maneira como as equipes de trabalho estão organizadas. Tudo isso faz com que, ao tentar proteger suas aplicações modernas, os gestores percebam que, apesar do grande esforço realizado, é comum que as políticas de segurança já estejam desatualizadas no momento em que são implementadas.
O desafio é proteger uma aplicação que muda continuamente
Como assegurar esses grandes ativos de TI e de negócios de uma maneira ágil, sem que as tarefas de segurança sejam um gargalo no pipeline automatizado? Como a área de segurança cibernética se converte em um habilitador do negócio, incluindo segurança desde a concepção da aplicação?
A resolução desse dilema passa pelo entendimento do que são e que resultados produzem as metodologias de DevSecOps.
DevSecOps (Desenvolvimento/Segurança/Operações) é um enfoque de segurança que abarca todo o stack de TI e inclui a segurança de rede, hosts, contêineres, servidores, Nuvem e aplicações. Cada vez mais, todas essas camadas estão se convertendo em software, fazendo com que a segurança das aplicações seja um enfoque fundamental para DevSecOps.
DevSecOps abrange, também, o ciclo de vida completo do software, incluindo o desenvolvimento e as operações. No desenvolvimento, o foco está em identificar e prevenir vulnerabilidades. Nas operações, os objetivos são monitorar e proteger as aplicações.
Implementar DevSecOps em cada empresa é um processo personalizado, definido pelo contexto e, principalmente, pelas habilidades das equipes de trabalho dessa organização. É recomendável ver DevSecOps como uma viagem que, para ser bem-sucedida, exige sólidas estratégias.
“Empoderar” as equipes de dev e ops: o desenvolvimento e as operações são “empoderados” para entregar aplicações seguras em produção por si mesmos. Os especialistas em segurança prestam apoio, mas não têm a responsabilidade principal da segurança. A segurança deve ser incluída desde o projeto das aplicações. É importante que as ferramentas e os processos sejam projetados para os desenvolvedores e os responsáveis por operações, não para especialistas em segurança cibernética.
Tornar visível a segurança: muitas vezes, o valor da segurança não é fácil de entender. Em DevSecOps devem ser executadas pequenas tarefas de segurança possíveis de serem rastreadas, atribuídas e mensuradas – exatamente como qualquer outro tipo de trabalho. A segurança se converte em parte das responsabilidades do dia a dia. Isso garante que a segurança seja transparente para todos.
Mover-se para a esquerda: desde desenvolvedores até especialistas de DevOps, todos estão envolvidos na segurança. Mudar a segurança “para a esquerda” significa que as atividades de segurança começam durante o projeto e se estendem ao longo do ciclo de vida do desenvolvimento de software. Isso inclui o feedback contínuo em cada etapa, desde o desenvolvimento até a produção.
Segurança como código: tanto quanto a integração e o desenvolvimento contínuo, a segurança contínua significa que as ameaças precisam ser respondidas com atividades de segurança realizadas constantemente. Isso deve ser parte do processo de desenvolvimento e operação dos aplicativos, e integradas às ferramentas utilizadas pelos membros da equipe. A segurança como código é a chave para automatizar as operações de segurança, o que leva a um processo integral às práticas de DevSecOps.
Monitoramento contínuo: quando se completa o desenvolvimento, começa o monitoramento. É necessário realizar um acompanhamento constante do comportamento das aplicações para detectar anomalias e possíveis ataques. Isso dá uma ideia da segurança da aplicação e proporciona feedback para a equipe de desenvolvimento.
Prevenir e Proteger: nunca será desenvolvida uma aplicação com código perfeito. Tampouco poderão ser detectados ou impedidos todos os invasores. Portanto, as melhores estratégias de segurança implicam um equilíbrio entre codificação segura durante o desenvolvimento (DevSec) e proteção em tempo de execução durante as operações (SecOps).
Essa jornada de integração entre pessoas, processos e tecnologias é essencial para que, em 2022, as empresas brasileiras desenvolvam aplicações modernas e seguras. Quem buscar essa maturidade conquistará um time-to-market de implementação de novas aplicações muito acelerado e muito rentável.
Por Andrew Oteiza, gerente de engenharia de soluções da F5 América Latina.
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo