...

Por Otoniel Ribeiro, Diretor de Serviços da Agility

Alguns consideram o Firewall como a mais significativa invenção em Cyber Security dos últimos anos. Certamente ele foi, e ainda é, extremamente relevante para o mercado e segue em constante evolução, passando de simples filtros de pacotes para Stateful, depois incluindo complementos como o Web Application Firewalls e os chamados Next Generation FireWalls, capazes de proteger ataques diretos na camada de aplicação.

Apesar da eficiência dos produtos com esses recursos, enfrentamos hoje a necessidade de criar soluções para proteção, por conta do efeito da descentralização gerado pela Transformação Digital e a geração de demandas Mobile, IoT, Public Cloud etc. Com o incremento desta complexidade, empresas precisaram repensar a ciberssegurança. O foco, antes voltado à infraestrutura e proteção de perímetro, agora está no software e nas aplicações - na necessidade de um desenvolvimento seguro, com proteção desde sua concepção.

É dessa demanda que surgiu o conceito de DevSecOps, complemento às iniciativas DevOps nas empresas, que é considerado como um dos grandes catalisadores da Transformação Digital, já que acelera a integração e entrega contínua de aplicações (CI/CD) com uso de ferramentas e automação, provendo qualidade, performance, disponibilidade e agora segurança.

O “Sec” do DevSecOps endereça o compliance e a segurança no ciclo de vida das aplicações, detecta vulnerabilidades e falhas de forma antecipada, traz o conceito de Shift-left security à tona e cria uma abordagem de aplicações seguras.

Quando falamos de segurança na esteira de integração e entrega contínua de aplicações, temos disponíveis diversos tipos de Application Security Tests (AST) como o Static (AST), o Dynamic (AST) e o Software Composition Analysis. Cada um deles busca vulnerabilidades em uma determinada fase do processo de desenvolvimento e execução de aplicações.

Implementar uma iniciativa DevSecOps não é tarefa fácil. É necessária a integração de um conjunto de soluções que viabilizam a criação de uma Esteira de Integração e Entrega Contínua de Software (CI/CD), o que evita gargalos que aumentem o tempo de entrega de projetos ou falhas de segurança.

Saber escolher as ferramentas que melhor se adaptam ao conjunto (CI/CD) é outro fator de grande importância para evitar dificuldades de integração e efeitos contrários a necessidade base de redução no Lead Time das aplicações. Aqui, deixo algumas dicas:

ü Procure o menor número de ferramentas possível e tenha certeza de que elas se acoplem facilmente a atual esteira para não acrescentar complexidade na administração interna

ü Dê preferência para plataformas em Cloud que fazem este trabalho.... Se não conhece o Eagle PAM, sugiro dar uma olhada pois, além de testar, também protege a camada de execução em produção.

ü Com conceitos e ferramental de AppSec definido, surge a etapa da Governança. Atenção especial a este ponto pois as funções em modelos ágeis devem mudar significativamente, fugindo do modelo tradicional e passando a ter função de auditoria.

Segurança de aplicações deve ser tratada com prioridade nas empresas. Além de uma aliada fundamental nesse quesito, a iniciativa DevSecOps também fomenta a colaboração entre os times e elimina os silos de trabalho desconectados da realidade de negócios da empresa. O resultado é ter na equipe de profissionais mais engajados, um aumento do tempo real de produtividade e os negócios atendendo às demandas de forma efetiva, satisfazendo os clientes.

Sobre a Agility

A Agility é uma empresa focada em serviços de Integração e Consultoria de TI e atua como parceira de grandes fabricantes de soluções em CyberSecurity, DevSecOps, Entrega de Aplicações e Privacidade de Dados, criando soluções XaaS voltadas a estas disciplinas para seus clientes. Ao completar 30 anos de atuação em 2021, reúne uma equipe de mais de 180 profissionais especializados que a ajudou a se tornar parceira confiável de mais de 200 clientes. Essa maturidade em solucionar desafios dos negócios digitais a levou a alçar novos voos. A Agility se internacionalizou com operações fora do Brasil e lançamento da plataforma Eagle para oferecer todos os serviços digitais que uma empresa precisa, incluindo gestão de ameaças, de privacidade de dados e proteção de aplicações multicloud. Mais informações: http://www.somosagility.com.br