DevSecOps: “Se apoiado pela gerência, sua eficácia é clara”

A fusão das equipes de desenvolvimento, segurança e operações vem sendo apontada como a saída mais eficaz para que uma aplicação alcance de forma mais rápida os requisitos de segurança esperados contra ameaças cibernéticas

Compartilhar:

O brasileiro tende a ser um consumidor naturalmente desconfiado ao realizar uma transação financeira, tamanha é a quantidade de tentativas de fraudes o qual ele está exposto. Para se ter uma ideia, em 2017, o Indicador Serasa Experian registrou 950.632 tentativas de fraude contra o consumidor apenas no primeiro semestre do ano. Um número que certamente motiva instituições e organizações financeiras em investirem em soluções que dificultem tornar esse ato malicioso numa ação bem-sucedida.

 

A realidade, embora não aceitável, é compreensível. Existe hoje um uso cada vez mais intenso dos canais digitais, uma competitividade entre empresas que demanda novas aplicações com funcionalidades inovadoras, a popularização de tecnologias com pouca ou nenhuma segurança embutida e um mercado demandando desenvolvedores, mas enfrentando a escassez de uma mão de obra mais qualificada.

 

O cenário ideal seria que as empresas investissem mais em ter um time de DevSecOps para ajudá-las a ter processos, produtos e serviços mais eficientes e seguros. “Essa equipe, quando devidamente inserida na etapa de desenvolvimento, pode trazer grandes benefícios em Segurança”, afirma Matteo Nava, CEO da Berghem. Segundo ele, o time de SI ainda é visto mais como um obstáculo que como um agregador de valor nos processos iniciais de desenvolvimento. “Porém, se apoiado pela gerência, sua eficácia aparece claramente.

 

A fusão das equipes de desenvolvimento, segurança e operações vem sendo apontada como a saída mais eficaz para que uma aplicação alcance de forma mais rápida os requisitos de segurança esperados contra ameaças cibernéticas. Nava reconhece que essa não é uma tarefa simples. Demanda, além de investimento, um grau elevado em maturidade de Segurança.

 

“A passagem para modelos ágeis de desenvolvimento depende de uma mudança radical no processo de desenvolvimento de uma empresa, com custo de implementação a ser bem avaliado. Casos de sucesso exigem a criação de equipes independentes dedicas à implementação do modelo agile e devem considerar um tempo de amadurecimento, que varia entre seis e 12 meses”, explica.

 

A grande vantagem dessa prática está no equilíbrio do trabalho de cada grupo, para que a segurança não impacte as atividades dos times de desenvolvimento e operação. E, nesse contexto, são especialmente necessárias as ferramentas inteligentes de automação, uma vez que o processo de testes de segurança deve se encaixar perfeitamente em um cronograma de produção.

 

A Berghem é uma empresa que nasceu no Laboratório de Sistemas Integrados (LSI-TEC) da Escola Politécnica da Universidade de São Paulo (USP) há 15 anos. Recentemente, lançaram tecnologias que preveem a criação de uma célula de Segurança que atue de forma contínua junto ao processo de desenvolvimento, verificando constantemente os novos desenvolvimentos antes da sua liberação.

 

“Com a proliferação de apps, dispositivos móveis e novas plataformas de pagamento ao redor do mundo, em que inúmeras transações acontecem todos os segundos, as equipes de segurança acabam ficando ainda mais pressionadas, sobrecarregadas e ávidas por ferramentas inteligentes que não só as auxiliem em suas rotinas, mas também as libere para atividades mais estratégicas”, conclui Nava.

 

Conteúdos Relacionados

Security Report | Destaques

Monbank denuncia ciberataque ao ambiente digital interno

A fintech, especializada em oferta de créditos consignados públicos e privados, informou em nota que o incidente atingiu a própria...
Security Report | Destaques

Incidente na Sinqia comprometeu R$ 710 milhões de instituições financeiras, informa a companhia

A controladora da organização de serviços de tecnologia emitiu um relatório ao Security Exchange Comission dos Estados Unidos, afirmando que...
Security Report | Destaques

Anatel investiga possível incidente no sistema do Defesa Civil Alerta

A Autoridade nacional de telecomunicações informou, por meio de nota publicada no site oficial, que um conjunto de usuários relatou...
Security Report | Destaques

Novo vazamento do Pix reforça demanda por gestão de terceiros, dizem CISOs

De acordo com líderes de SI da comunidade Security Leaders, exemplos como esse destacam necessidade de ecossistemas mais seguros de...