No DevOps impressiona pela necessidade de responsabilidade e prestação de contas compartilhadas. Portanto, os profissionais de segurança devem procurar construir relacionamentos com as equipes de desenvolvimento e operações e envolvê-los como partes interessadas e participantes ativos na condução de melhorias de segurança. Assim como na arquitetura corporativa, isso não significa aplicar continuamente políticas rígidas e inflexíveis, mas sim trabalhar de forma colaborativa para atribuir responsabilidades de segurança às equipes mais bem posicionadas para agir de acordo com elas. Por exemplo, durante cada incidente de segurança de aplicativo, os desenvolvedores responsáveis pelo código, real implicado, devem realmente ser o primeiro grupo chamado para ajudar a resolver o problema. Essas equipes estarão muito mais familiarizadas com o funcionamento do software, e as lições que aprenderam que facilmente ajudarão a fortalecer a segurança dos aplicativos.
Para ajudar temos diversos tipos de ferramentas tais como SAST, DAST, SCA, entre tantas outras que ajudam a manter o código desenvolvido seguro. Mas de nada adianta ferramentas apontarem que em tal ponto do aplicativo temos um Injection se as pessoas não sabem o que é tal problema.
Temos que entender que Segurança é uma das prioridades da empresa. Mas temos que fazer com que todos entendam isso. E onde é o melhor lugar para começarmos a mitigar isso? Aí podemos ter um trabalho difícil, mas o trabalho não é achar por onde devemos começar, mas sim como abordar para esse grupo que segurança tem que ser uma das prioridades. Porque para grande maioria das pessoas a Segurança “atrapalha”, é cara e ao mesmo tempo não mostra um retorno financeiro imediato. E se não conseguirmos convencer esse grupo de que a segurança é muito necessária, dificilmente teremos uma melhor abordagem em relação aos outros atores no processo de desenvolvimento seguro.
Alguém sabe que grupo é esse? Sim. Os gerentes. Sem envolvê-los no processo e mostrar que os nossos usuários querem cada dia mais segurança nos aplicativos que usam, e que deixar a segurança para um segundo plano é um erro enorme.
Depois dos gerentes a equipe do DevOps, sem deixar ninguém de fora deve cuidar da segurança em cada ponto do projeto, lembrando que tudo começa no começo, simples assim, a segurança deve estar presente em todas as fases do DevOps, não deixar, como no passado, lembrar da segurança quando o projeto está em vias de ser entregue para a produção.
O problema está em uma mudança na nossa cultura. Grande parte dos desenvolvedores criou um bloqueio quando falamos de segurança, pois antigamente, criou-se a máxima de quem precisava cuidar da segurança é quem cuida da infraestrutura, e o investimento era cerca de 85%, segundo apontam pesquisas, no pessoal que cuidavam de nossos servidores, e a segurança nos aplicativos foram sendo deixados de lado, já que o pessoal da “infra” resolvia a segurança caso os sistemas fossem atacados.
Hoje adoro o tema voltado a Educação na Segurança da Informação porque é um assunto que sempre bateu a nossa porta e nunca demos a devida atenção e quando o problema ocorre poucos na empresa sabem o que realmente deve ser feito. A grande maioria das pessoas querem fazer a coisa certa, mas essas pessoas não sabem o que é a coisa certa, e, então, nós precisamos mostrar o que é a coisa certa.
Ivanio Luiz da Rosa é especialista em Cibersegurança, desenvolvedor com mais de 35 anos de experiência, e trabalhou vários anos no Exército Brasileiro, onde foi programador e analista de segurança em código-fonte. Faz parte de comunidades de Software Livre importantes do mercado e atualmente trabalha na Nova8, onde é Analista de Segurança da Informação Sênior.