BLOGUE

Não há espaço para silos quando se trata de segurança

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 24 de junho de 2019

Tudo começou com DevOps. Depois veio o NetOps. Agora SecOps. Ou seria DevSecOps? Ou talvez SecDevOps?

Não importa qual seja o nome que você decida dar a isso, muitas vezes o resultado final é pouco mais do que os mesmos velhos silos com nomes novos e brilhantes. Ficamos tão focados em "como chamamos essas pessoas" que às vezes esquecemos "o que estamos tentando realizar".

O Grande Bardo disse isso pela primeira vez em seu comentário sobre uma rosa: ela teria o mesmo cheiro doce se tivesse outro nome. Vamos aplicar isso hoje ao número de facções que estão crescendo no jogo de operações. Mudar seu nome não adianta nada se você não mudar seus comportamentos e práticas essenciais.

Quando a nuvem surgiu (trocadilho intencional), havia muitos especialistas que desprezavam os esforços empresariais para construir uma nuvem privada (no local). Porque não se encaixava na definição precisa que eles queriam associar à nuvem. Eles ignoraram que o resultado era a medida do sucesso, não correspondendo à definição pedante de outra pessoa. Eles buscavam agilidade, eficiência e velocidade mudando a maneira como a infraestrutura era provisionada, configurada e gerenciada. Eles mudaram comportamentos e práticas por meio do uso da tecnologia.

Hoje, as guerras terminológicas estão focadas em X-Ops e no que deveríamos chamar de mais recente novidade: segurança.

Sei que já usei os termos e, às vezes, uso todos eles ao mesmo tempo. Mas talvez o que precisamos é de menos distinções. Talvez eu devesse apenas dizer que você está adotando "operações modernas" em termos de comportamentos e práticas ou está permanecendo como "operações tradicionais", e é só isso.

As operações modernas empregam tecnologias como nuvem e automação para criar pipelines que codificam processos para acelerar a entrega e a implantação de aplicativos.

E eles fazem isso mudando comportamentos e práticas. Eles são colaborativos e comunicativos. Eles usam tecnologia para modernizar e otimizar processos antigos que estão impedindo a entrega e a implantação. Eles trabalham juntos, não em equipes X-Ops isoladas, para atingir sua meta de lançamentos mais rápidos e frequentes que agreguem valor ao negócio e encantem os consumidores.

Concentrar-se no que chamar de "segurança" à medida que se aprofundam nas operações modernas pode ser prejudicial à premissa básica de que a entrega e a implantação só podem ter sucesso rapidamente com uma abordagem colaborativa. Colocar novos rótulos em uma nova equipe focada apenas cria silos diferentes; não os destrói nem abre as linhas de comunicação necessárias para operar com rapidez e escala.

Ele também dá permissão involuntariamente a outras operações não relacionadas à segurança para abdicar de responsabilidades de segurança para a equipe <SecDevOps | DevSecOps>. Porque está no nome deles, certo?

Essa é uma ideia cada vez pior, já que a segurança do aplicativo é uma pilha e, portanto, requer uma pilha completa para implementar as proteções corretas.  Você precisa de segurança de rede e segurança de transporte e, definitivamente, precisa de segurança de aplicativo. A superfície de ataque de um aplicativo inclui todas as sete camadas e, cada vez mais, a pilha que compõe seu ambiente operacional. Não há espaço para silos quando se trata de segurança.

O foco da TI à medida que avança em sua transformação digital deve ser modernizar as operações — desde a tecnologia até as equipes que a utilizam para inovar e agregar valor ao negócio. As operações modernas não são consumidas pela preocupação com títulos, elas são apaixonadas por produzir resultados. As operações modernas trabalham juntas, comunicam-se livremente e colaboram entre preocupações para construir um pipeline de entrega e implantação eficiente e adaptável.

Isso exigirá que conhecimentos de rede, segurança, infraestrutura, armazenamento e desenvolvimento trabalhem juntos.

Na rede, usamos rótulos para marcar o tráfego e aplicar políticas que controlam quais dispositivos podem se comunicar com qual infraestrutura e aplicativos. Em clusters de contêineres, usamos rótulos para isolar e restringir, para restringir e para proibir.

Rótulos em organizações podem ter o mesmo efeito.

Então talvez fosse melhor se disséssemos apenas que você é um agente de operações modernas ou tradicionais. E que alguns estão em um estado de transição entre os dois. Vamos parar de gastar tantos ciclos pensando em como chamar uns aos outros a ponto de perdermos a oportunidade de criar um ambiente colaborativo no qual podemos entregar e implantar aplicativos com mais rapidez, frequência e, acima de tudo, com segurança.