Gustavo Concon é CTO da CI&T

O número de ataques virtuais não para de crescer. No mundo, segundo pesquisadores da Check Point Research, houve um aumento de 28% no terceiro trimestre de 2022, em comparação ao mesmo período de 2021. As empresas são alvos sensíveis dessas ações: a média de ataques semanais às organizações chegou à marca de 1.130. No Brasil, o aumento foi de 37%, e as organizações no país foram atacadas 1.484 vezes semanalmente.

Não são poucos os impactos negativos gerados por essas atividades criminosas a companhias de diversos setores. Um relatório da empresa de segurança cibernética Sophos revelou que 77% dos líderes de TI entrevistados, do setor de varejo, admitiram que suas organizações foram atingidas por ataques de ransomware em 2021 (75% a mais em relação a 2020).

A cultura de segurança em toda cadeia de tecnologia

O relatório IBM Cost of Data Beach Report 2022 evidencia que Cloud Migration é o segundo maior fator que impacta o custo em vazamento de dados, mas em contrapartida, DevSecOps – processo de desenvolvimento ágil com práticas de segurança embarcadas em toda cadeia de desenvolvimento – é o segundo fator que mais contribui na redução desse custo, gerando um saldo próximo de zero na balança.

A necessidade de implementar medidas de segurança robustas em todos os processos digitais das empresas se torna cada dia mais evidente. Considerando que a cloud é parte fundamental dos negócios, é preciso dar atenção especial a ela, principalmente no caso de migrações de estruturas para a nuvem.

Além do impacto direto na redução de vulnerabilidades e risco organizacional, temos constatado outros fatores de muito impacto na eficiência de desenvolvimento, custo e inclusive na saúde dos colaboradores que atuam diretamente na defesa das corporações contra atacantes maliciosos.

Um levantamento da CI&T indicou que o uso de DevSecOps torna 10 vezes mais rápido o tempo de remediação de incidentes de segurança, uma redução de até 80% nos esforços das equipes de segurança, e taxas de burnout até 1.4X menor comparado a equipes onde a empresa ainda não está madura nesse tipo de prática. Uma evidência direta em como “fazer mais por menos”, direcionando as equipes para ampliar seu escopo de atuação e com maior agenda para inovação na disciplina de segurança.

Ainda assim, para que uma estratégia de DevSecOps exerça todo seu potencial, saber como implementá-la faz parte do jogo.

A transformação na cultura de Cybersecurity

Existem 3 perspectivas essenciais para uma boa adoção de práticas de Cybersecurity, são elas:

Tecnologia — não é possível implantar uma boa estratégia de DevSecOps sem as ferramentas adequadas;
Processos — garantir que cada fase do ciclo de desenvolvimento contemple o tema segurança, e não apenas no final do ciclo, aprimorando a prevenção e a remediação de riscos;
Pessoas — capacitar profissionais, construir uma cultura de performance e assegurar que possam falar sem medo sobre o tema, e sobre as possíveis vulnerabilidades do produto, é de suma importância. A responsabilidade da segurança é de todo colaborador, independente da área onde ele atue, e não apenas do time de segurança.
As 5 práticas para trazer eficiência na segurança da informação:

Continuous Testing: A engenharia de software e seu processo de desenvolvimento precisam contemplar automação de testes de segurança. Existem inúmeras ferramentas no mercado para garantir que o código, em tempo de desenvolvimento, possui boas práticas ou não está criando vulnerabilidades já conhecidas, além de verificar se toda a cadeia de dependências (bibliotecas de terceiros) também não possui alguma vulnerabilidade que pode impactar o software de forma indireta.

Security Design: O desenho de uma arquitetura de software pode, por melhor que seja implementado seu código, gerar vetores de ataque e expor informação de grande impacto para um atacante. Práticas como a modelagem de ameaças e ferramentas que auxiliam nesse processo trazem muito mais segurança já no início do ciclo de desenvolvimento, considerando inclusive requisitos de negócio como LGPD, GDPR, PCI, SOX, entre outros. A modelagem de ameaça é um processo constante, a cada nova evolução do software.

Cloud & Infra Security: Monitorar e priorizar riscos e vulnerabilidades apontados por ferramentas de security scan na infraestrutura. Aliado à modelagem de ameaças, garante uma alta cobertura de riscos associados a vulnerabilidades nas arquiteturas lógica e física da solução.

Risk & Compliance: Segurança vai além do digital. Frameworks de mercado como a ISO2700X avaliam, por exemplo, se o ambiente físico dos colaboradores é seguro, se o ambiente de trabalho, contratos são seguros e permissões de acessos geridos de forma eficaz.

Treinamentos: Uma boa plataforma de treinamentos e formação dos colaboradores é chave para que todos sejam guardiões da segurança. Além de um time técnico formado em desenvolvimento seguro, os gestores precisam ser capacitados para serem “Security Champions” nas operações em que atuam.

Por onde começar?

A adoção em escala dessa maturidade na companhia é complexa. Não se muda a cultura com frases motivacionais ou decretos corporativos, é preciso criar referências, cases relevantes e que, além de gerar motivação nos demais colaboradores, demonstram valor de forma clara e efetiva.