Escolar Documentos
Profissional Documentos
Cultura Documentos
SecOps ou DevSecOps – que bicho é este ? pra que serve? É uma abordagem de
gerenciamento que conecta equipes de segurança e operações.
Manter as duas equipes envolvidas no processo fornece maior visibilidade sobre quais
mudanças são necessárias e qual pode ser o impacto dessas mudanças em outras partes
do negócio.
As equipes de segurança devem seguir três princípios para reunir as tribos SecOps e
DevOps:
“A busca desses três princípios é um esforço contínuo, e as ferramentas e processos que permitem
que as equipes de segurança alcancem com sucesso esses objetivos serão aquelas que se mostrarem
mais efetivas”, observa ele.
O processo de mesclar segurança com operações envolve várias etapas. A primeira fase
do processo é consolidar as prioridades e os processos de tomada de decisão. Em
seguida, os canais de comunicação, as ferramentas de software e as autorizações para a
informação precisam ser compartilhadas para dar a cada membro da equipe uma visão
holística e uniforme do desenvolvimento. Por fim, todos os processos de desenvolvimento
precisam ser atualizados para incorporar a segurança em cada estágio.
Por exemplo, um agente de atendimento ao cliente pode perceber uma notificação por e-
mail suspeita ou um engenheiro pode relatar uma tentativa de injeção de SQL.
Objetivos do SecOps
Os objetivos de uma abordagem bem-sucedida de SecOps giram em torno da introdução
de aspectos de segurança mais cedo ou em todos os estágios do ciclo de
desenvolvimento.
A ênfase é colocada na alta administração para se comprometer a fazer melhorias de
segurança, a fim de implementar um roteiro mais holístico. Os objetivos também podem
incluir colaboração entre equipes e revisão inter-funcional de riscos operacionais.
O SecOps pode ser uma mudança cultural para algumas organizações que exige que
questões maiores sejam abordadas antes que as metas possam ser alcançadas.
Benefícios
DevSecOps
Um termo relacionado ao SecOps é DevSecOps, um processo que envolve as práticas de
segurança entre desenvolvimento e operações. Embora o termo DevSecOps seja
relativamente novo, a ideia de abordar a segurança em cada estágio do ciclo de vida do
software existe há anos. O DevSecOps geralmente se concentra em uma abordagem Ágil
para o desenvolvimento, que visa a velocidade e a eficiência. As equipes estão
trabalhando juntas para garantir que a segurança se mantenha no mesmo nível do
desenvolvimento e das operações.
Ano passado publicamos aqui no Blog dois artigos sobre o assunto Segurança e DevOps –
Conceito Novo para uma Necessidade Antiga e
Como explicamos nestes artigos, a Segurança da Informação é sempre vista “uma pedra
no sapato” quando é chamada somente ao final do ciclo de Desenvolvimento e necessita
barra ou cobrar algum tipo de controle que não tenha sido implementado.
Uma boa integração de Segurança com Desenvolvimento, aqui dê-se o nome que quiser,
DevOps ou outro, mapeia as fases do desenvolvimento e define-se os entregáveis de
ambas as áreas para que se tenha as orientações e avaliações de segurança necessárias
ao mesmo tempo que se tem as informações e implementações realizadas nos produtos.
A algum tempo atrás, em 2007, bem antes de falarmos de DevOps, tive o prazer de liderar
uma equipe excelente de profissionais de segurança em um banco, onde definimos o que
chamamos na época de ASTI que representava um indíce de “Aderência à Segurança de TI”.
Para criar o ASTI, mapeamos cada fase da metodologia de desenvolvimento e definimos
os entregáveis em cada uma delas.
No início causamos certo desconforto pois ninguém queria ver um número ruim na sua
área, com o passar dos meses as equipes de Dev entenderam o propósito e “compraram”
ideia, pois viram o benefício de ter a área de segurança envolvida desde o início no ciclo
de desenvolvimento ajudando a definir os caminhos necessários para um desenvolvimento
seguro e aderentes as normas do banco e não sendo mais a “pedra no sapato” na hora de
subir para produção.
Um ano depois conseguimos fazer com que um percentual do indíce de qualidade do geral
do projeto fosse relativo a avaliação ASTI. Sucesso!!!! Estava implementado o melhor
processo de integração de segurança e desenvolvimento do qual tive oportunidade de
participar e ver implementado. Claro que tive alguns problema com o ajuste de workload da
área, mas isto a gente sempre resolve de alguma forma, e ali não foi diferente, a equipe
era realmente boa.
Pelo que sei o sistema funcionou e evoluiu ainda mais até a venda do banco em 2016,
quase 10 anos depois.