: :
os agilistas

ENZIMAS #207 Seu time tem maturidade em segurança digital?

ENZIMAS #207 Seu time tem maturidade em segurança digital?

os agilistas
: :

Szuster: Bom dia, boa tarde, boa noite. Este é mais um episódio de Enzimas: breves reflexões que te ajudam a catalisar o agilismo em sua organização.

Lucas Assunção: Olá, todas e todos, sou Lucas Assunção, sou engenheiro de cibersegurança aqui na DTI. E hoje aqui em enzimas a gente vai estar tratando do tema de segurança mais, especificamente, sobre a maturidade de segurança. O que ela é? E como ela pode ser medida? Antes da gente fazer essa reflexão, é importante a gente observar algumas coisas do nosso cenário político e econômico. E para isso, eu vou recorrer a pesquisa TIC Empresas. E uma pesquisa que é feita desde 2005 e, bem, por alto, ela vai meditar, vai analisar como é a adoção de tecnologias de ponta por parte de empresas privadas; seja a tecnologia de internet das coisas, ou tecnologias de segurança, que é o que gente vai analisar aqui. Uma das perguntas que a pesquisa faz é, se a empresa discutiu riscos de segurança digital em alguma reunião? E na pesquisa de 2021, 41% das empresas alegaram que discutiram esse tema. Se a empresa mencionou riscos de segurança digital nos contratos de trabalho? E apenas 32% das empresas em 2021, alegaram ter feito. Se a empresa promoveu treinamento sobre gestão de risco de segurança digital, concursos online, workshops, seminários, conferências ou treinamento oferecido por meio de reunião interna? e 27% das empresas alegaram terem feito algum tipo de treinamento. E por último, se deu incentivo de desempenho para empregados que reduziram o risco de segurança digital, no qual 23% das empresas responderam, afirmativamente. A gente observa com esses dados, que não é um cenário tão favorável, na verdade, é bem preocupante. Isso, traduz muito de como é o cenário do Brasil, nesse sentido de segurança. Então, pensando nesse cenário, onde a maioria das empresas não têm uma cultura de segurança estabelecida, em práticas de segurança sendo realizadas, é importante a gente pensar como que a gente dá o primeiro passo; como que a gente sai do zero, e dá o pontapé inicial. Então, aí surge o primeiro grande desafio. A segurança é um tema extremamente complexo, cheio de nuances. E a gente tem um cenário onde os ataques são cada vez mais comuns e a gente tem tempo e dinheiro limitado. Como é que a gente vai fazer? Não existe uma receita de bolo do que fazer, mas existem algumas ações que são importantes de serem tomadas. Posso solicitar algumas aqui não, necessariamente, numa ordem de prioridade, nem nesses moldes. Mas o estabelecimento de um comitê de segurança com pessoas da parte técnica, da gestão, da arquitetura, com o intuito de criar as políticas e os padrões internos que vão ser seguidos por toda a organização. Esse comitê também pode ser responsável pelo acompanhamento das atividades de segurança e o alinhamento dessas atividades com os objetivos estratégicos da empresa. Isso serve para os dois lados. Serve também para gestão da empresa estar ciente dos riscos que estão sendo assumidos com determinada decisão e pautar esses objetivos em cima da segurança também. Uma segunda ação importante, estabelecer um time dedicado à segurança, um time que vai ficar responsável por implementar os padrões e as políticas definidas para educar e conscientizar os colaboradores; e isso pode ser feito de diversas Formas. Uma ação importante que o time de segurança tem que tocar também, é a listagem dos produtos, os ativos digitais e dos repositórios que são de responsabilidade da empresa. E a partir dessa listagem, elaborar um plano estratégico de varredura e de testagem desses produtos. Se essas varreduras foram bem-sucedidas, o próximo passo, é traçar um plano de correção das ameaças mais críticas a mais baixas. E uma vez que o time de segurança já esteja realizando essas atividades mais básicas de segurança com uma certa expertise. A gente já pode começar a pensar no Shift Left Security. O que que é isso? É um conceito que vai dizer para a gente trazer as atividades de segurança o mais cedo possível no ciclo de desenvolvimento de software, de forma que o software já nasça seguro e chegue nas fases de testagem, de deploy com o mínimo de vulnerabilidades possível. O que é muito importante, já que quanto mais tarde no ciclo de desenvolvimento de software uma vulnerabilidade é encontrada, mais cara vai ser sua correção. E lembrando também que esse processo todo pode e deve ser incrementado com o uso de ferramentas de segurança. A gente tem uma gama de possibilidades hoje de ferramentas; open source gratuitas, que podem ajudar bastante e que podem ser, muitas vezes, incorporadas no pipeline, facilitando ainda mais sua execução. Só é importante denotar que essas ferramentas não podem substituir a testagem humana, que vai achar os problemas estruturais mais aprofundados de cada aplicação. Então tá Lucas, já fiz todas essas ações, já tem um time de segurança que é dedicado, já tem o comitê de segurança, já tem políticas e padrões definidos. Qual que é o próximo passo? E eu diria que agora o mais importante é não deixar a peteca cair. É manter essas atividades de segurança já estabelecidas e aprofundar cada vez mais essa percepção de segurança dentro da organização. Em início, diversos materiais online podem ajudar, por exemplo, o NIST framework, que vai oferecer uma série de políticas e diretivas de segurança que vão deixar a operação mais próximo possível das práticas de mercado. A gente tem o OWASP SAMM, que é o Software Assurance Maturity Model da OWASP, que vai estabelecer um sistema de medição da maturidade de segurança dos mais diversos pontos da operação de segurança; seja na governança; no design; na implementação; na verificação, ele vai estabelecer níveis de maturidade para que você entenda qual é o seu estado atual. Por hoje, é isso que eu tenho para dizer. Não é fácil colocar essa quantidade e complexidade de conteúdo em tão pouco tempo. Mas espero que tenha sido útil para ter uma noção de como a gente pode pensar a segurança do zero e como que a gente pode estar implementando-a da maneira mais saudável possível nas nossas organizações. Valeu, galera.

Szuster: Bom dia, boa tarde, boa noite. Este é mais um episódio de Enzimas: breves reflexões que te ajudam a catalisar o agilismo em sua organização. Lucas Assunção: Olá, todas e todos, sou Lucas Assunção, sou engenheiro de cibersegurança aqui na DTI. E hoje aqui em enzimas a gente vai estar tratando do tema de segurança mais, especificamente, sobre a maturidade de segurança. O que ela é? E como ela pode ser medida? Antes da gente fazer essa reflexão, é importante a gente observar algumas coisas do nosso cenário político e econômico. E para isso, eu vou recorrer a pesquisa TIC Empresas. E uma pesquisa que é feita desde 2005 e, bem, por alto, ela vai meditar, vai analisar como é a adoção de tecnologias de ponta por parte de empresas privadas; seja a tecnologia de internet das coisas, ou tecnologias de segurança, que é o que gente vai analisar aqui. Uma das perguntas que a pesquisa faz é, se a empresa discutiu riscos de segurança digital em alguma reunião? E na pesquisa de 2021, 41% das empresas alegaram que discutiram esse tema. Se a empresa mencionou riscos de segurança digital nos contratos de trabalho? E apenas 32% das empresas em 2021, alegaram ter feito. Se a empresa promoveu treinamento sobre gestão de risco de segurança digital, concursos online, workshops, seminários, conferências ou treinamento oferecido por meio de reunião interna? e 27% das empresas alegaram terem feito algum tipo de treinamento. E por último, se deu incentivo de desempenho para empregados que reduziram o risco de segurança digital, no qual 23% das empresas responderam, afirmativamente. A gente observa com esses dados, que não é um cenário tão favorável, na verdade, é bem preocupante. Isso, traduz muito de como é o cenário do Brasil, nesse sentido de segurança. Então, pensando nesse cenário, onde a maioria das empresas não têm uma cultura de segurança estabelecida, em práticas de segurança sendo realizadas, é importante a gente pensar como que a gente dá o primeiro passo; como que a gente sai do zero, e dá o pontapé inicial. Então, aí surge o primeiro grande desafio. A segurança é um tema extremamente complexo, cheio de nuances. E a gente tem um cenário onde os ataques são cada vez mais comuns e a gente tem tempo e dinheiro limitado. Como é que a gente vai fazer? Não existe uma receita de bolo do que fazer, mas existem algumas ações que são importantes de serem tomadas. Posso solicitar algumas aqui não, necessariamente, numa ordem de prioridade, nem nesses moldes. Mas o estabelecimento de um comitê de segurança com pessoas da parte técnica, da gestão, da arquitetura, com o intuito de criar as políticas e os padrões internos que vão ser seguidos por toda a organização. Esse comitê também pode ser responsável pelo acompanhamento das atividades de segurança e o alinhamento dessas atividades com os objetivos estratégicos da empresa. Isso serve para os dois lados. Serve também para gestão da empresa estar ciente dos riscos que estão sendo assumidos com determinada decisão e pautar esses objetivos em cima da segurança também. Uma segunda ação importante, estabelecer um time dedicado à segurança, um time que vai ficar responsável por implementar os padrões e as políticas definidas para educar e conscientizar os colaboradores; e isso pode ser feito de diversas Formas. Uma ação importante que o time de segurança tem que tocar também, é a listagem dos produtos, os ativos digitais e dos repositórios que são de responsabilidade da empresa. E a partir dessa listagem, elaborar um plano estratégico de varredura e de testagem desses produtos. Se essas varreduras foram bem-sucedidas, o próximo passo, é traçar um plano de correção das ameaças mais críticas a mais baixas. E uma vez que o time de segurança já esteja realizando essas atividades mais básicas de segurança com uma certa expertise. A gente já pode começar a pensar no Shift Left Security. O que que é isso? É um conceito que vai dizer para a gente trazer as atividades de segurança o mais cedo possível no ciclo de desenvolvimento de software, de forma que o software já nasça seguro e chegue nas fases de testagem, de deploy com o mínimo de vulnerabilidades possível. O que é muito importante, já que quanto mais tarde no ciclo de desenvolvimento de software uma vulnerabilidade é encontrada, mais cara vai ser sua correção. E lembrando também que esse processo todo pode e deve ser incrementado com o uso de ferramentas de segurança. A gente tem uma gama de possibilidades hoje de ferramentas; open source gratuitas, que podem ajudar bastante e que podem ser, muitas vezes, incorporadas no pipeline, facilitando ainda mais sua execução. Só é importante denotar que essas ferramentas não podem substituir a testagem humana, que vai achar os problemas estruturais mais aprofundados de cada aplicação. Então tá Lucas, já fiz todas essas ações, já tem um time de segurança que é dedicado, já tem o comitê de segurança, já tem políticas e padrões definidos. Qual que é o próximo passo? E eu diria que agora o mais importante é não deixar a peteca cair. É manter essas atividades de segurança já estabelecidas e aprofundar cada vez mais essa percepção de segurança dentro da organização. Em início, diversos materiais online podem ajudar, por exemplo, o NIST framework, que vai oferecer uma série de políticas e diretivas de segurança que vão deixar a operação mais próximo possível das práticas de mercado. A gente tem o OWASP SAMM, que é o Software Assurance Maturity Model da OWASP, que vai estabelecer um sistema de medição da maturidade de segurança dos mais diversos pontos da operação de segurança; seja na governança; no design; na implementação; na verificação, ele vai estabelecer níveis de maturidade para que você entenda qual é o seu estado atual. Por hoje, é isso que eu tenho para dizer. Não é fácil colocar essa quantidade e complexidade de conteúdo em tão pouco tempo. Mas espero que tenha sido útil para ter uma noção de como a gente pode pensar a segurança do zero e como que a gente pode estar implementando-a da maneira mais saudável possível nas nossas organizações. Valeu, galera.

Descrição

Como é possível medir a maturidade de uma organização frente às inúmeras ameaças de cybersegurança? Nesse episódio, recebemos o Engenheiro de Cybersegurança na dti Lucas Assunção. Ele compartilha algumas reflexões sobre o assunto e dicas para das os primeiros passos na implantação de estratégias de segurança digital. Bateu a curiosidade? Então dá o play!

Quer conversar com Os Agilistas? É só mandar sua dúvida/sugestão para @osagilistas no Instagram ou pelo e-mail osagilistas@dtidigital.com.br que nós responderemos em um de nossos conteúdos!

See omnystudio.com/listener for privacy information.