Antes da transformação digital, desenvolvedores passavam meses desenvolvendo um aplicativo, para só então, depois de pronto, ser avaliado sua segurança e isso, segundo a líder de segurança da Snyk e a conselheira da OWASP, Vandana Verma, é uma prática bastante perigosa que, além de manter os sistemas inseguros, atrasa o processo de desenvolvimento dos negócios. E, embora a transformação digital e a migração para o desenvolvimento em nuvem tenha mudado esse cenário, muitas empresas ainda operam nesse modelo.
- MTS21 | Afinal, as criptomoedas podem ou não substituir o dinheiro físico?
- MTS21 | Falta de táticas de gerenciamento de crise agravam vazamentos de dados, afirma especialista
- MTS21 | Utilizando a segurança como facilitadora e aceleradora de negócios
Durante o Mind The Sec, nesta quinta-feira (16), Verma explicou como garantir a segurança de aplicações desenvolvidas em nuvem, sem que essa segurança atrase os negócios e também conversou sobre os riscos e ameaças da migração de aplicações para nuvem.
Seu principal conselho com relação ao desenvolvimento seguro de aplicações na nuvem é, claro, DevSecOps e Dev-first. "Precisamos iniciar a segurança Dev-first dando aos nossos desenvolvedores a responsabilidade e as ferramentas de segurança para proteger o que constroem durante todo o processo de desenvolvimento."
Essa estratégia é bastante clara para as empresas que já nasceram na transformação digital e já desenvolvem suas aplicações em ambientes nuvem. Mas quanto as empresas que continuam operando de forma tradicional? Verma explica que "abraçar essa mudança" é algo realmente necessário.
"É algo que você tem que aceitar. Esse é o novo normal. Aplicativos desenvolvidos nativamente em nuvem fazem mais do que apenas rodar em plataformas separadas [...] Seguir a transformação do mercado, os ajustes organizacionais, podem ser necessários para o sucesso. Isso inclui mudanças de ferramentas e nos procedimentos de segurança".
Então, como fazer a migração para nuvem de forma segura? Verma explica que para adotar uma abordagem nativa da nuvem, assim como uma migração para ela, é necessário ter acesso, visibilidade e controle de todo o ambiente e isso exige uma abordagem Zero Trust (confiança zero).
"Enquanto passamos por isso [adoção/migração para nuvem], precisamos lembrar que pode parecer que estamos indo rápido demais. Mas, até as maiores organizações estão trabalhando dessa forma agora. Os modelos DevSecOps giram em torno das equipes independentes, separando as pessoas em grupos menores. E é assim que a abordagem nativa da nuvem nos ajuda [...] Se trata de uma abordagem completamente diferente".
No entanto, sabemos que conscientizar o desenvolvedor de seu papel em garantir a segurança não é uma tarefa fácil. Verma mesmo já trabalhou como desenvolvedora e conta que existe uma barreira que impede essa relação. "Eu sou desenvolvedora e segurança não é meu trabalho". Por isso, "precisamos de uma nova abordagem, que é a abordagem do desenvolvedor".
Ao invés de oferecer ao desenvolvedor uma lista de requisitos de segurança que ele deve cumprir, porque não oferecer as ferramentas adequadas para garantir a segurança desde o início dos projetos? Questiona Verma.
"Dev-first significa, em vez de empurrar a segurança para os desenvolvedores, precisamos trabalhar com eles. Precisamos fazer com que entendam o porquê precisamos disso. Eu já fui uma desenvolvedora, entendo quais são os riscos que podem estar lá, e como superá-los e me certificar de que a segurança está incorporada, não apenas como 'Ah, tenho que cumprir essa lista, e pronto', mas como algo que precisamos entender e aplicar".
Domesticando o monstro da segurança
O departamento de segurança, em muitos casos, ainda é considerado como o monstro da empresa. O setor do "não", que nega todas as ideias inovadoras e atrasa os negócios. Essa é a mentalidade que Verma acredita que temos que combater.
"A Segurança é considerada um monstro, por isso, as vezes fica em segundo plano, e aqui, estamos tentando envolvê-la desde o início, isso é a coisa mais importante [...] É preciso uma mudança cultural, uma comunicação com desenvolvedor em uma língua que ele entenda".
Uma das formas de inseri-la na rotina de produção é com adoção do tema nas reuniões de scrum e metodologias ágeis, para garantir, por exemplo, que os contêiners, a segmentação de dados e os kubernetes estão sendo respeitados ou devidamente implementados.
"Quando se fala de DevSecOps, há reuniões de scrum que acontecem todos os dias. Talvez por dez minutos, quinze minutos, como uma stand up meeting. Agora, quando isso acontece, as equipes são conjuntas, compartilham a atualização de status, entendem o que acontece entre as diferentes equipes. Podemos seguir e repensar segurança de aplicativo? Sim, esse é o correto a se fazer. Precisamos ter certeza de que estamos falando uns com os outros".
Outro ponto que Verma pede atenção é com relação aos dados. O modelo tradicional de desenvolvimento não se preocupa com a segurança dos dados, mas sim com disponibilidade deles, para facilitar o processo de produção. No entanto, "se há dados sendo transmitidos para algum lugar, é necessário validar esses lugares [...] Pode haver casos em que haja uma comunicação acontecendo com terceiros, e pessoas mal-intencionadas podem conseguir fazer upload de algo", recomenda.
Confira tudo o que já publicamos sobre o Mind The Sec 2021, a maior e mais qualificada conferência corporativa sobre segurança da informação da América Latina!