É um equívoco comum dizer que DevOps envolve apenas uma colaboração mais próxima entre as equipes de desenvolvimento e operações de TI. Na verdade, os programas de DevOps também devem envolver outras disciplinas que tradicionalmente foram envolvidas no final do ciclo de vida de desenvolvimento de software. Isso é especialmente importante no que diz respeito a Cybersecurity e à segurança da informação.
À primeira vista, parece que os objetivos do DevOps e da segurança estão em dissonância. Enquanto o DevOps exige uma entrega de software rapidamente, a qualidade e a segurança buscam uma supervisão cuidadosa e deliberada para garantir que os sistemas não estejam suscetíveis a algumas vulnerabilidades. E com uma montanha de regras e regulamentos para suportar, não é surpreendente que a segurança possa facilmente ser considerada como mais um gargalo nos processos de aprovação e implantação. Todas as equipes devem aceitar que a segurança é uma faceta chave do software de “alta qualidade”, que novamente pode ser estabelecida sem retardar o desenvolvimento.
Esse gargalo acontece porque as equipes estão norteadas por entregas apertadas e eis que do nada surge a segurança cheia de senões para aplicar com certa urgência porque senão podemos ter problemas. Em breves discussões nos últimos meses o que a gente vê é o que acontece em diversas organizações.
A falta de cultura em Segurança da Informação.
As linguagens de programação estão ali, para serem utilizadas da forma correta, mas na pressa e na pressão, os profissionais acabam por não se atentarem a problemas que são causadas por frases como:
– Estamos seguros, afinal tudo aqui é criptografado.
– Isso não é explorável.
– A gente sempre fez assim e nunca deu problema.
– Porque alguém faria isso.
– Se ao menos tivéssemos ferramentas melhores…
Entre outras tantas desculpas. Porém não podemos esquecer que as ameaças mudam, e nós também devemos mudar.
Com este cenário vou apresentar quatro aspectos essenciais a serem considerados:
- Tornar todos responsáveis pela segurança
- Demonstrar como o DevOps melhora a segurança e vice-versa
- Deslocar a segurança “à esquerda” (Shift-Left)
- Fazer correções no tempo errado é caro.
Vou falar sobre cada uma dessas quatro práticas em artigos que vamos publicar ao longo das próximas semanas.
Até a próxima!
Ivanio Luiz da Rosa é especialista em Cibersegurança, desenvolvedor com mais de 35 anos de experiência, e trabalhou vários anos no Exército Brasileiro, onde foi programador e analista de segurança em código-fonte. Faz parte de comunidades de Software Livre importantes do mercado e atualmente trabalha na Nova8, onde é Analista de Segurança da Informação Sênior.
