De acordo com a pesquisa KPMG 2021 CEO Outlook nos EUA, 81% dos CEOs estão confiantes nas perspectivas de crescimento das empresas. Ao mesmo tempo, eles preveem os riscos de segurança cibernética como uma das três principais ameaças ao crescimento de suas organizações. Como resultado, (em comparação com um ano atrás) em 2021 os CEOs disseram que planejam investir mais em tecnologias de segurança de dados. É certo que a segurança cibernética é uma das principais preocupações que podem retardar a transformação digital.

As empresas estão passando por uma rápida transformação digital e sua dependência de softwares aumentou. De acordo com a pesquisa KPMG CIO Survey 2021, quase metade dos entrevistados afirmou que a pandemia acelerou permanentemente a transformação digital.

As empresas não estão apenas adotando tecnologias modernas em nuvem (cloud), mas também técnicas modernas de entrega de software. Em essência, as organizações estão se transformando rapidamente em muitas frentes diferentes. A tecnologia é o principal facilitador, mas também está possibilitando um campo de ataque muito maior. Portanto, não é surpresa que investimentos em segurança e privacidade sejam tão importantes na nova realidade.

A automação inteligente em geral é uma das cinco principais áreas de investimento e isso deve implicar maior automação no ambiente de segurança. Um desses ambientes é a Infraestrutura como Código (Infrastructure as Code - IaC), que ajuda a criar uma infraestrutura em nuvem que não dispõe apenas de recursos de computação, mas também de recursos de armazenamento, rede e segurança.

O IaC oferece ainda uma oportunidade única para a consistência na automação de segurança, pois essa é uma área em que as organizações historicamente não têm segurança suficiente ou há muitos incidentes para análise, levando à fadiga de alertas.

Em reconhecimento aos possíveis problemas de configuração com o ambiente de nuvem e com recursos subjacentes, as ferramentas de gerenciamento de postura de segurança na nuvem (Cloud Security Posture Management - CSPM) estão se tornando comuns. No entanto, o CSPM é uma medida reativa e um dos mecanismos de controle de detecção.

A melhor opção é evitar que problemas de segurança se infiltrem no IaC, verificando-o em busca de possíveis configurações incorretas e, em seguida, colocando camadas no CSPM como um mecanismo de monitoramento para problemas de tempo de execução.

Uma questão permanece: embora existam muitas ferramentas de segurança e conjuntos de código aberto, como podemos apoiar os profissionais de DevOps a criarem e manterem aplicativos seguros? A resposta está em uma solução de política de segurança como código (Security Policy as Code - SPaC) da KPMG. Ela é composta pelos seguintes aceleradores:

  1. Estratégia de transformação da organização de segurança, incluindo modelos de interação com modelos do Cloud Center of Excellence (CCOE) e gráficos RACI para implementar rapidamente o SPaC.
  2. Estrutura de gerenciamento de políticas, incluindo a tradução de sua segurança e requisitos regulatórios complexos em políticas como código. Ela também tem uma biblioteca de políticas normalizadas para ajudar a demonstrar conformidade com vários padrões, como o NIST 800-53 e a ISO 27001.
  3. Planos de segurança que codificam a infraestrutura e as políticas de segurança de uma só vez.
  4. Estudo comparativo técnico detalhado de ferramentas de segurança de terceiros, que podem ajudar a selecionar rapidamente uma ou mais ferramentas de segurança de código aberto e/ou de terceiros para ajudar na segurança multi-cloud que estão muito além dos recursos nativos de CSP.
  5. DevSecOps, gerenciamento automatizado de alertas/ajuste de alertas falsos e estratégia de resposta a incidentes, aproveitando a experiência nesse tema.

Uma ressalva importante: embora seja essencial ter políticas como soluções de código, os controles de detecção também continuam a ter um papel significativo na segurança da nuvem, pois os desenvolvedores podem não ter visibilidade perfeita durante a criação de soluções em nuvem.

O objetivo de colocar os poucos casos de uso de SPaC iniciais em produção deve ser aprender sobre o processo de implementação. É possível ainda incluir o desenvolvimento de tais casos de uso como parte do programa piloto de segurança da organização ou hackathons.

À medida que mais casos de uso doe SPaC são implementados, a confiança de que seu pipeline de construção, seu desenvolvimento de software e seu ambiente de tempo de execução são confiáveis aumenta, a probabilidade de incidentes de segurança graves diminui, permitindo o foco na entrega de valor aos seus clientes.

Uma vez que a codificação SPaC é realizada, os clientes podem utilizar ferramentas nativas de CSP ou de terceiros para monitorar o desvio de política. Dependendo da maturidade nessa área, os clientes também podem desenvolver recursos de autocorreção para reparar fragilidades de segurança sem intervenção humana.

A KPMG está na vanguarda da segurança em nuvem e tem ampla experiência em segurança cibernética. A Firma reúne esses conhecimentos para ajudar os clientes a mitigar os riscos em nuvem e, quando houver incidentes, contribuir com o enfrentamento da questão e a recuperação necessária.

Entre em contato para saber como podemos ajudá-lo com sua segurança em nuvem.

Entre em contato conosco

conecte-se conosco