SecOps: sem medo de fazer certo

Há organizações que dificilmente são surpreendidas por ataques de hackers ou penalidades em auditorias. Infelizmente, não porque não os sofram, mas porque não chega a haver “surpresa”. Uma pesquisa da Forbes Insights, realizada com executivos nos EUA e Europa, revelou que 44% reconhecem conviver com vulnerabilidades documentadas há meses. Ao mesmo tempo, metade reclama de degradação de performance em serviços por patches mal implementadas. E esta é apenas uma face dos desencontros entre as áreas de Operações e GRC (governança, risco e conformidade).

Quanto mais madura na transformação digital, maior a tendência de sustentar seus serviços em amplas orquestrações de recursos (bancos de dados, servidores de aplicações, sistemas legados etc), uma interdependência que torna mais delicado mexer em alguma peça. Além de fatos como BYOD (uso de dispositivos pessoais no trabalho) ou SaaS (software como serviço), a tendência é que o ambiente de informação fique ainda mais aberto, com a exposição de APIs (interfaces de programas) na construção de novos produtos e serviços digitais.

Na infraestrutura, a arquitetura elástica de nuvem e práticas como ITIL dão agilidade e visão financeira às transformações. Com a relevância que as aplicações assumem em todas as atividades, muitos líderes já implementaram práticas de DevOps (desenvolvimento+operações), em que os times de software e de negócios trabalham juntos em todo processo. Nesse cenário, não é incomum que a agenda risco e conformidade seja atropelada, assim como a própria área de TI muitas vezes é abalada pelo ritmo dos negócios digitais.

O mesmo estudo da Forbes Insights revelou também um grande distanciamento entre os profissionais de Segurança & Conformidade e Operações & TI; 60% disseram ter uma “vaga ideia” sobre as prioridades dos outros. A consultoria, evidentemente, recomenda revisão de funções, mecanismos de colaboração e outras mudanças em processos e cultura, para que as premissas de cibersegurança permeiem as ideias e iniciativas em todas as áreas. Em algumas estratégias de SecOps (segurança sincronizada a operações), já se criam Comitês de Segurança Digital, com os diretores ou vice-presidentes de operações e negócios.

No entanto, o alinhamento do SecOps esbarra em conflitos, legítimos, do dia a dia. Na prática, por mais que se tenha “consciência” da prioridade da segurança digital, fica difícil explicar, por exemplo, que um aplicativo não pode ser lançado porque envolve um servidor com vulnerabilidade documentada há seis meses, ou que se tem que parar ou degradar a produção para implementação e testes de patches. Isso quando a empresa é a primeira a descobrir o problema, antes de um auditor ou de um hacker.

Visibilidade e automação, portanto, são fundamentos de uma estratégia de SecOps. Nesse contexto, uma plataforma de segurança e compliance automatiza a gestão desses quesitos em todo o ciclo de vida dos serviços digitais. A automação endereça os conflitos tanto no início dos projetos, com um mapeamento de todas as dependências sujeitas às regras de segurança e compliance, quanto após a implementação, quando as políticas, deixadas por conta da própria empresa, tendem a esmaecer.

Assim como ocorre com infraestrutura e desenvolvimento (com nuvem e DevOps), no SecOps a automação reduz os custos operacionais, além de agregar previsibilidade financeira. O retorno de investimento em termos de disponibilidade, proteção a vulnerabilidades e prontidão a auditorias varia conforme os serviços ou dados em questão. Contudo, a plataforma integrada e inteligente de tratamento a ameaças e compliance elimina pontos de conflito e faz da segurança um habilitador de negócios.

*Silvio Rugolo é vice-presidente global de automação de datacenter e nuvem da BMC.