Andrew Oteiza (*)
Nos últimos dois anos, pessoas e empresas compreenderam que a aplicação é o negócio. Trata-se de sistemas como um Internet Banking, a plataforma que oferece serviços de telemedicina, o engine por trás do portal Web de uma empresa de varejo.
Para gerar crescimento, esses sistemas core precisam entregar uma excelente UX. A fluidez da economia digital e a facilidade de, em um clique, mudar para outro fornecedor, tem levado as aplicações a passar por processos de expansão e de transformação.
Segundo o estudo State of Application Strategy 2021, realizado pela F5 em março do ano passado a partir de entrevistas com 1500 CIOs e CISOs – incluindo 125 executivos do Brasil e da América Latina –, 77% do universo pesquisado está modernizando suas aplicações.
O outro lado desse contexto é que 95% dos líderes entrevistados reconhecem ter poucos insights sobre a segurança e o desempenho desses sistemas críticos. É comum enfrentarem dificuldades para identificar a causa raiz dos problemas enfrentados pela aplicação, chegando a ter dúvidas sobre o que é uma falha de desempenho, o que é um ataque.
Essa é uma realidade enfrentada pelas organizações que utilizam metodologias ágeis de desenvolvimento de suas aplicações. É uma abordagem em que se incorpora novas ferramentas, automatiza-se e modifica-se a maneira como as equipes de trabalho estão organizadas.
Tudo isso faz com que, ao tentar proteger suas aplicações modernas, os gestores percebam que, apesar do grande esforço realizado, é comum que as políticas de segurança já estejam desatualizadas no momento em que são implementadas. O desafio é proteger uma aplicação que muda continuamente.
Como assegurar esses grandes ativos de TI e de negócios de uma maneira ágil, sem que as tarefas de segurança sejam um gargalo no pipeline automatizado? Como a área de segurança cibernética se converte em um habilitador do negócio, incluindo segurança desde a concepção da aplicação? A resolução desse dilema passa pelo entendimento do que são e que resultados produzem as metodologias de DevSecOps.
DevSecOps (Desenvolvimento/Segurança/Operações) é um enfoque de segurança que abarca todo o stack de TI e inclui a segurança de rede, hosts, contêineres, servidores, nuvem e aplicações. Cada vez mais, todas essas camadas estão se convertendo em software, fazendo com que a segurança das aplicações seja um enfoque fundamental para DevSecOps. DevSecOps abrange, também, o ciclo de vida completo do software, incluindo o desenvolvimento e as operações.
No desenvolvimento, o foco está em identificar e prevenir vulnerabilidades. Nas operações, os objetivos são monitorar e proteger as aplicações. Implementar DevSecOps em cada empresa é um processo personalizado, definido pelo contexto e, principalmente, pelas habilidades das equipes de trabalho dessa organização. É recomendável ver DevSecOps como uma viagem que, para ser bem-sucedida, exige sólidas estratégias.
• “Empoderar” as equipes de dev e ops – O desenvolvimento e as operações são “empoderados” para entregar aplicações seguras em produção por si mesmos. Os especialistas em segurança prestam apoio, mas não têm a responsabilidade principal da segurança.
A segurança deve ser incluída desde o projeto das aplicações. É importante que as ferramentas e os processos sejam projetados para os desenvolvedores e os responsáveis por operações, não para especialistas em segurança cibernética.
• Tornar visível a segurança – Muitas vezes, o valor da segurança não é fácil de entender. Em DevSecOps devem ser executadas pequenas tarefas de segurança possíveis de serem rastreadas, atribuídas e mensuradas – exatamente como qualquer outro tipo de trabalho. A segurança se converte em parte das responsabilidades do dia a dia. Isso garante que a segurança seja transparente para todos.
• Mover-se para a esquerda – Desde desenvolvedores até especialistas de DevOps, todos estão envolvidos na segurança. Mudar a segurança “para a esquerda” significa que as atividades de segurança começam durante o projeto e se estendem ao longo do ciclo de vida do desenvolvimento de software. Isso inclui o feedback contínuo em cada etapa, desde o desenvolvimento até a produção.
• Segurança como código – Tanto quanto a integração e o desenvolvimento contínuo, a segurança contínua significa que as ameaças precisam ser respondidas com atividades de segurança realizadas constantemente. Isso deve ser parte do processo de desenvolvimento e operação dos aplicativos, e integradas às ferramentas utilizadas pelos membros da equipe. A segurança como código é a chave para automatizar as operações de segurança, o que leva a um processo integral às práticas de DevSecOps.
• Monitoramento contínuo – Quando se completa o desenvolvimento, começa o monitoramento. É necessário realizar um acompanhamento constante do comportamento das aplicações para detectar anomalias e possíveis ataques. Isso dá uma ideia da segurança da aplicação e proporciona feedback para a equipe de desenvolvimento.
• Prevenir e Proteger – Nunca será desenvolvida uma aplicação com código perfeito. Tampouco poderão ser detectados ou impedidos todos os invasores. Portanto, as melhores estratégias de segurança implicam um equilíbrio entre codificação segura durante o desenvolvimento (DevSec) e proteção em tempo de execução durante as operações (SecOps).
Essa jornada de integração entre pessoas, processos e tecnologias é essencial para que, em 2022, as empresas brasileiras desenvolvam aplicações modernas e seguras. Quem buscar essa maturidade conquistará um time-to-market de implementação de novas aplicações muito acelerado e muito rentável.
(*) – É Solutions Engineer Manager da F5 LATAM.