Você está promovendo fluência em segurança na sua organização?

Migrar para a nuvem é difícil. O deck do PowerPoint e as belas arquiteturas são desenhados rapidamente, mas o trabalho necessário para fazer a mudança levará meses e possivelmente anos.

Os estágios iniciais exigem um esforço significativo das equipes para aprender novas tecnologias (os próprios serviços em nuvem) e novas formas de trabalhar (o modelo de responsabilidade compartilhada).

Nos primeiros dias de seus esforços de nuvem, o centro de expertise em cloud é um modelo lógico a seguir.

 

Centro de Excelência

Um centro de excelência em nuvem é exatamente o que parece. Sua organização forma uma nova equipe — ou uma equipe existente cresce para a função — que se concentra em definir padrões e arquiteturas de nuvem.

Eles costumam ser a equipe “procurada” para quaisquer questões sobre nuvem. Do simples (“O que é um bucket do Amazon S3?”), para o mais elaborado (“Quais são as vantagens do Amazon Aurora em relação ao RDS?”), chegando ao mais complexo (“Qual é a chave de índice/classificação ideal para esta tabela do DynamoDB?”).

O centro de excelência em nuvem é o one-stop shop para a nuvem em sua organização. No início, essa escolha de design organizacional pode acelerar muito a adoção de tecnologias de nuvem.

 

Muito Central

O problema é que a adoção acelerada não se correlaciona necessariamente com compreensão e aprendizagem aceleradas.

Na verdade, na medida em que o centro de excelência continua a aumentar seu sucesso, há uma falha inversa na aprendizagem organizacional que cria uma falta geral de fluência em nuvem.

A fluência em nuvem é uma ideia apresentada por Forrest Brazeal no site de cursos e certificações de cloud “A Cloud Guru” que descreve a capacidade geral de todas as equipes da organização para discutir tecnologias e soluções de nuvem. A postagem do blog de Forrest mostra essa situação e é bem resumida neste cartum;

 

Nosso próprio Mark Nunnikhoven também falou com Forrest no episódio 2 da 2ª temporada para #LetsTalkCloud.

Mesmo que a equipe do centro de excelência em nuvem se proponha a ensinar a todos e elevar o nível, o trabalho logo se acumula e a equipe rapidamente muda de um mandato educacional para um “consertar tudo”.

O que antes era um acelerador de cloud agora é um local de esgotamento para seus principais talentos de nuvem, difíceis de substituir.

 

O Passado da Segurança

Se você prestou atenção em como as equipes de segurança cibernética operam nas organizações, provavelmente notou uma série de semelhanças muito preocupantes.

As equipes de cibersegurança também são consideradas um centro de excelência e a equipe central dentro da organização para conhecimento de segurança.

A maioria das solicitações de arquitetura de segurança, conselhos, operações e, geralmente, qualquer coisa que inclua o prefixo “cibernético”, a palavra “risco” ou dicas de “hackeamento” são encaminhadas para esta equipe.

Isso não é culpa da equipe de segurança. Com o passar dos anos, a complexidade dos sistemas aumentou, mais e mais incidentes ocorrem e as equipes de segurança raramente têm a oportunidade de olhar para o futuro. Eles estão muito ocupados presos no “modo de apagar incêndios” para dar um passo atrás e reavaliar a estrutura de design organizacional em que trabalham.

De acordo com o Gartner, para cada 750 funcionários em uma organização, um deles é dedicado à segurança cibernética. Essas são probabilidades impossíveis que levaram à enorme lacuna nas habilidades de segurança.

 

Fluência é o Caminho a Ser Seguido

A segurança precisa seguir o exemplo da fluência de nuvem. Precisamos de “fluência de segurança” para importar a postura de segurança dos sistemas que construímos e para reduzir o risco que nossas organizações enfrentam.

Este é o motivo pelo qual as equipes de segurança precisam direcionar seus esforços para educar as equipes de desenvolvimento. DevSecOps é um termo repleto de equívocos e carece de contexto para conduzir as mudanças necessárias, mas é útil para aumentar a conscientização sobre a falta de fluência em segurança.

A adoção bem-sucedida de uma filosofia DevOps envolve a remoção de barreiras para o sucesso do cliente. Fornecer às equipes as ferramentas e a autonomia de que precisam é um fator crítico para se ter um bom resultado.

A segurança é apenas um aspecto do kit de ferramentas da equipe de desenvolvimento. Cabe à equipe de segurança atual ajudar a educá-los sobre os princípios que impulsionam a cibersegurança moderna e como garantir que os sistemas que eles constroem funcionem conforme planejado… E somente conforme planejado.