Segurança e compliance não precisam ser um desafio para o processo de desenvolvimento em TI (tecnologia da informação). Em meio a um cenário cada vez mais complexo, as empresas devem manter a atenção na agilidade do desenvolvimento, na proteção contra ameaças à segurança e nos requisitos de auditoria e de compliance.

Uma estrutura conectada, automatizada, com ferramentas integradas e colaboração multifuncional integram a abordagem do modelo operacional do futuro, com a qual as organizações podem trabalhar para acelerar o desenvolvimento e a implementação dos processos de TI.

Esses são alguns dos destaques da publicação Redefinindo a Segurança por Design: Colaboração, Automatização e Verificação, produzida pela KPMG.

DevOps com segurança em todas as etapas

O DevOps (integração dos termos “desenvolvimento” e “operações”) é o alinhamento prático das equipes de desenvolvimento e operações de TI para obter entregas mais frequentes de software novos e atualizados.

Já o DevOps seguro e governado, uma nova abordagem recomendada para as práticas da área de tecnologia, é a integração da segurança à equação do DevOps em cada etapa.

Quando bem executado, esse modelo agiliza o desenvolvimento e a implementação das ações ao cumprir controles pré-definidos e testes automatizados em todo o ciclo de vida do desenvolvimento de sistemas (systems development lifecycle – SDLC).

Nessa estrutura, a segurança é alocada no ponto mais inicial possível do processo de desenvolvimento (shift left), mas não às custas da governança ou, mais importante, da velocidade de entrega. 

Desafios da transição para o DevOps seguro e governado

No entanto, há alguns desafios para a implementação do DevOps seguro e governado. Se as áreas de engenharia de TI, segurança da informação e riscos tecnológicos em uma organização atuam separadas, seus processos provavelmente também serão desconectados.

Algumas das principais adversidades em relação ao tema são:

  • Em engenharia de TI: falta de ferramentas adequadas e de sua integração para auxiliar na análise de causa raiz, alertas automatizados, varreduras etc.
  • Em segurança da informação: validação manual de segurança, restringindo a velocidade com que as mudanças são entregues.
  • Em riscos tecnológicos: equipes sem procedimentos e padrões adequados para assegurar um compliance consistente com os requisitos.

Colaboração e integração são os elementos-chave da equação

Para garantir a segurança e realizar auditorias relevantes e significativas, as empresas devem adotar um plano adequado com automação, ferramentas centralizadas e profissionais colaborativos e bem treinados.

Durante a transição de DevOps para o modelo DevOps seguro e governado, recomenda-se que as práticas de engenharia de TI, segurança da informação e auditoria de TI sejam interligadas para implementar recursos de tecnologia de maneira abrangente, ágil, segura e eficaz.

Conteúdo relacionado

Entre em contato conosco

conecte-se conosco

Meu perfil

Conteúdo exclusivo e personalizado para você