Ao longo dos anos, acompanhamos diversas ondas de evolução na infraestrutura de TI das empresas. Passamos dos mainframes ao modelo cliente-servidor e agora estamos na onda da nuvem. Cada um dos momentos evolutivos trouxe consigo implicações diretas em segurança cibernética, adequados ao seu tempo.
Os ciclos de inovação na indústria se dão de forma cada vez mais rápida e a segurança quase nunca acompanha este ritmo. Talvez seja pela forma que a segurança sempre foi pensada, um modelo monolítico que por vezes causava mais transtornos do que efetivamente protegia os ambientes.
Outra característica dos ciclos de inovação é que a segurança sempre foi deixada de lado, priorizando a entrega final e funcionalidades. Com isso, a inovação chega ao mercado sem o devido cuidado com segurança. É bem verdade que, com o tempo, a segurança se encaixa na inovação de alguma forma, seja por que foi planejado assim ou porque um incidente trouxe a necessidade à tona.
Neste espaço de tempo, entre o lançamento da inovação no mercado e a adequação dos controles, políticas e soluções de segurança à inovação, os atores maliciosos aproveitam para explorar os pontos fracos e causar danos materiais, prejuízos financeiros e em casos mais extremos e complexos, perda de vidas.
Deste momento em diante é comum Estados e empresas adotarem uma postura de segurança mais rígida. Neste ponto o dano já aconteceu e é possível que a inovação lançada ao mercado rapidamente seja destruída pela má reputação adquirida em pouco tempo. Mais prejuízos aqui.
Hoje vivemos o momento da nuvem pública, que sem dúvida alguma trouxe uma série de benefícios às empresas. Agilidade, baixo custo total, menor necessidade de ativos imobilizados, maior uso de serviços dinâmicos que se ajustam à necessidade da empresa de forma rápida, fácil e barata. Capacidade elástica ao clique do mouse.
O uso de recursos serverless e APIs tem se popularizado muito nos últimos anos pelo seu custo baixo, facilidade de criar aplicações com poucas linhas de código, entre outros benefícios. Porém, com isso nos deparamos com um modelo de segurança monolítico que simplesmente não funciona em um ambiente de nuvem. Em nuvem precisamos ter a clareza que alguns controles estão exclusivamente na mão do provedor dos serviços de nuvem e outros são de responsabilidade exclusiva de quem está usando os serviços de nuvem.
A nuvem permite que aplicações sejam criadas e modificadas praticamente em tempo real, trazendo a inovação para um ritmo diário ou até mais vezes ao dia, aplicativos são atualizados, sepultados e novos criados com mais inovações que seu antecessor. Tudo muda muito rapidamente e todo o ecossistema precisa acompanhar este ritmo.
Isso é maravilhoso, um mundo dinâmico, onde todos têm acesso ao novo, ao ágil, a funcionalidades que facilitam nosso dia a dia, que levam informações de negócios de um continente ao outro em segundos, que trazem à tela aquela imagem da família registrada em um momento especial.
Este modelo exige que a própria segurança se reinvente, se inove. Isto tem acontecido com muita velocidade e temos ferramentas excelentes hoje, realmente inovadoras, mas sempre vemos isto acontecer depois dos incidentes.
Segurança e inovação precisam andar de mãos dadas, sabe por quê? Por que é mais barato e mais simples.
Com os ciclos de desenvolvimento cada vez mais curtos, inserir segurança no processo desde o início é mandatório. O tão falado Shift Left. Levar a segurança para o ciclo de desenvolvimento, de planejamento. Garantir que a inovação seja pensada e criada com segurança, com controles efetivos e adequados à tecnologia em uso, com pessoas conscientes do seu papel no processo.
O uso de threat modeling, controles pró-ativos, o próprio conceito de shift left, tudo isso aplicado desde o início. Criar pensando em segurança, falamos muito de security by design e security by default, mas a aplicação prática e efetiva ainda deixa a desejar.
Ameaças novas e emergentes aparecem muito rapidamente ao lado das inovações.
Precisamos tratar cybersecurity e inovação com uma visão holística.
“Cyber is almost like basic hygiene in a digital world, particularly with all the innovation and transformation that is happening around us.”
James Nunn-Price
Cybersecurity e inovação podem, juntas, impulsionar um mundo novo, digital, seguro e excitante.
Excelente artigo. Infelizmente a segurança está ficando sempre para próxima Sprint.
Parabéns Lisandro, assunto super relevante!!!