O departamento de segurança da informação, por muito tempo, foi considerado como o "departamento do não", o setor mais chato de todas as empresas, que sempre barra as ideias inovadoras e acaba, consequentemente, desacelerando o desenvolvimento do negócio. Mas, segundo o chefe de segurança da informação da Netflix DVD, Jimmy Sanders, a segurança deve ser uma facilitadora e não uma barreira para os negócios e isso deve ser feito "deixando os funcionários trabalharem."
- MTS21 | Analista do TSE revela os bastidores dos Testes Públicos de Segurança da urna eletrônica
- MTS21 | Carros autônomos vieram para nos salvar, mas estão nos matando
- MTS21 | A história da cibersegurança, na prática
Durante o Mind The Sec 2021, nesta quarta-feira (15), Sanders explicou como as empresas devem aplicar a segurança da informação de forma responsável, segura e eficiente, sem que ela desacelere o processo evolutivo dos negócios. Entenda!
Sanders começa sua apresentação com uma pergunta para o mercado. "Por que você está construindo um sistema que coloca os usuários em insegurança? [...] Por que [ao invés disso] não estamos construindo programas genuinamente mais seguros?"
O executivo responde que, embora os usuários sejam considerados "o elo mais fraco", eles não podem ser considerados os culpados por clicarem em um phishing, por serem vítimas de um vazamento de dados, ou por estarem vulneráveis a falhas de dia zero. "Se uma falha de dia zero afeta meu usuário, eu não posso culpá-lo".
Nesses casos, Sanders recomenda que, os desenvolvedores se perguntem "o que estou fazendo e como posso melhorar a segurança do meu programa?" No entanto, essa é uma mentalidade adquirida após uma análise profunda de como funciona o mercado e para entende-la é necessário voltar ao passado.
"Quando entrei na área de segurança da informação, há muito tempo, nós tentávamos minimizar o risco para a empresa, para nós mesmo e para os nossos usuários, limitando a velocidade da mudança". Ou seja, a cada processo do desenvolvimento, o time de segurança parava a produção para analisar o código para decidir se era seguro ou não. "Ao invés de facilitar os negócios, estávamos dificultando até que ficamos conhecidos como os dificultadores, ou a entidade que diz não."
Essa é uma mentalidade que deveria ser considerada antiga. Mas, infelizmente, os profissionais de segurança ainda são considerados como dificultadores do progresso em boa parte das empresas mais tradicionais.
Sanders explica que na sua empresa, a Netflix DVD, o serviço de aluguel de DVDs físicos da Netflix, que só opera nos Estados Unidos, os funcionários têm liberdade para trabalhar, executar suas funções. "Meus funcionários devem ter liberdade para fazer o que precisam fazer. Eu não posso impedi-los. Não posso dificultar os negócios. Preciso achar soluções e ideias que facilitem os negócios."
Caminhos ao invés de barreiras
Como alternativa ao posicionamento de dificultar o desenvolvimento dos negócios. Sanders recomenda que as empresas permitam com que seus funcionários trabalhem dando a eles trilhos ao invés de barreiras. Esses trilhos são (essencialmente) orientações e não podemos confundir orientações com obrigações.
Uma das formas de utilizar a segurança para facilitar e acelerar os negócios é DevSecOps. "Conforme você desenvolve o seu código, conforme desenvolve suas ideias, o ponto é que queremos oferecer nossas ideias de segurança, o mais próximo do processo de desenvolvimento, o mais próximo do processo de iniciação do produto possível. Uma vez que você consegue fazer isso, você consegue ter abertura e transparência, para que a segurança não seja empurrada no ambiente. A segurança se torna uma parte integral."
Outra forma é com a implementação de políticas zero trust (confiança zero). "Uma das coisas interessantes a se pensar sobre zero trust é a segmentação de tráfego. Tenho certeza que você usa tráfego segmentado. Assim, garantimos que os usuários passem pelos canais certos."
A segmentação de informações também é um dos "trilhos" descritos por Sanders. "Informações financeiras devem estar separadas das informações de negócios e separadas do código-fonte da aplicação que está desenvolvendo. Isso pode parecer introdutório, mas vocês fiariam surpresos com a quantidade de empresas que não separam suas informações adequadamente."
A alocação discreta de privilégios, ou seja, o poder de ação de seus funcionários, também é uma questão de segurança a ser considerada. Por exemplo, se a função de determinado colaborador é iniciar o sistema e somente isso, porque ele tem autonomia para iniciar e reiniciar o sistema? "Você deve construir privilégios discretos, para garantir que eles possam fazer aquilo que precisam fazer e nada mais."
Outra grande questão relacionada à política de confiança zero (zero trust) é a autenticação do colaborador. "Autentique. Depois, autentique novamente. Finalmente confie. Porque quando você chegar à fase de confiar, já é tarde demais para verificar. Certifique-se de verificar duas ou mais vezes. Depois, confie."
Sanders lembra que o ambiente corporativo é, de diversas formas diferentes, hostil. Mas, principalmente com relação aos cibercriminosos. "Considere que o tigre está à espreita e construa defesas em torno disso."
As dicas de como o departamento de segurança deve operar de forma facilitadora e aceleradora dos negócios foram dadas durante um keynote no Mind The Sec 2021.
Ainda dá tempo de adquirir seu ingresso com desconto exclusivo da The Hack! Utilize o código ADTHDC-KSEYNQ e garanta 15% de desconto na compra do seu ingresso!