7 erros mais comuns em DevSecOps

As iniciativas DevSecOps estão repletas de perigos e requerem uma consideração cuidadosa da cultura, aprendizagem, processo e necessidades de negócios. Veja quais são os erros mais comuns que as empresas cometem em DevSecOps.

As organizações adotam o DevSecOps por vários motivos, como:

Habilitar projetos de transformação digital;
Entregar valor mais rapidamente;
Obter uma vantagem competitiva;
Reduzir o custo de remediações de segurança e muito mais.

Contudo, apesar da pressa para adoção, as organizações às vezes cometem erros em suas iniciativas DevSecOps. Felizmente, os motivos para essas falhas são evitáveis. Então, confira a seguir as causas mais comuns para erros em esforços de DevSecOps.

Falha em estabelecer uma cultura de aprendizagem

Um relatório recente da McKinsey identificou que o talento e as questões culturais representam o maior desafio para as transformações de tecnologia. E isso inclui DevSecOps. Então, empresas que adotam uma cultura de aprendizado e experimentação contínuos terão mais sucesso com DevSecOps. O trabalho “The DevOps Handbook” enfatiza que para evitar erros e ter sucesso com DevSecOps , contar com uma cultura de aprendizagem é a chave.

Isso é facilitado por meio do aprendizado diário. Ou seja, deve-se reservar tempo para o aprendizado e aprimoramento organizacional, tal como fazer um investimento concentrado na qualificação da força de trabalho.

Isso pode ser feito com investimentos em assinaturas de aprendizagem, assistência de matrícula e reembolso de certificação. Contudo, também são eficazes sessões brown bag onde especialistas no assunto de dentro e de fora da organização compartilham conhecimentos e as lições aprendidas.

Negligenciar a educação multifuncional

Muitas vezes existe uma tensão tácita, mas amplamente reconhecida, entre as equipes de desenvolvimento e de segurança. Contudo, com base na necessidade de aprendizagem, a educação multifuncional deve ser buscada como parte de um imperativo mais amplo de quebrar silos e aliviar essa tensão.

A pesquisa de 2020, conduzida pela Linux Foundation e o Laboratório de Ciência da Inovação de Harvard, descobriu que o desenvolvedor médio de software livre e de código aberto (FOSS) gasta apenas 2,3% de seu tempo melhorando a segurança de seu código. Eles usam termos como “fulminante” para descrever codificação e segurança seguras.

Em uma época em que as organizações buscam “mudar a segurança para a esquerda”, os desenvolvedores estão em uma posição privilegiada. Especialmente para mitigar as vulnerabilidades de segurança antes de comprometer e promover a produção. Portanto, devem compreender o valor organizacional da codificação segura e ser incentivados a persegui-la.

Por outro lado, estamos nos encontrando em ambientes onde tudo está se transformando em código. De código de aplicativo, infraestrutura como código (IaC) / conformidade como código, manifestos Kubernetes e modelos YAML de pipeline de integração / entrega contínua (CI / CD), o código está em todo lugar.

Contudo, os profissionais de segurança não precisam ser excelentes desenvolvedores, mas devem compreender as práticas de codificação em alto nível. Além disso, devem ser capazes de revisar os modelos para configurações incorretas e vulnerabilidades comuns. Afinal, isso também melhoraria a colaboração e o terreno comum entre os dois grupos.

Negligenciar a comunicação do valor comercial

Qualquer esforço, incluindo DevSecOps, deve estar vinculado aos principais objetivos e metas de negócios. Afinal, o DevSecOps é uma jornada de transformação que requer aceitação e envolvimento de partes interessadas críticas em toda a organização. Por esse motivo, cometem-se erros ao não comunicar o valor comercial do DevSecOps.

A liderança sênior deve entender claramente o “porquê” de buscar DevSecOps. Uma das maneiras mais eficazes de fazer isso é por meio de métricas. Muitos estão familiarizados com as métricas de DevOps Research and Assessment (DORA) do popular livro “Accelerate”, mas isso é apenas o começo.

Na verdade, as organizações também podem e devem usar métricas adicionais. Como afirma Bill Nichols, do Carnegie Mellon Software Engineering Institute (SEI), “as medições devem estar acessíveis, disponíveis e relacionadas aos objetivos de negócios”.

Portanto, comunicar o valor de negócios da adoção do DevSecOps e usar métricas para apoiá-lo pode ajudar muito a garantir o suporte das principais partes interessadas e da liderança executiva em sua organização.

Ser muito avesso ao risco; temendo o fracasso

Novamente, organizações e equipes de alto desempenho que adotam DevSecOps abraçam uma cultura de aprendizado. A antítese disso é ser muito adverso ao risco e temer o fracasso. Afinal, o fracasso é um subproduto natural do processo de aprendizagem.

Então, se suas equipes e funcionários não estão em uma posição em que possam cometer erros, aprender lições e iterar para corrigir falhas, as chances de adotar o DevSecOps com sucesso são mínimas. Portanto, as equipes devem ter autonomia para aprender, identificar seus pontos fracos, desenvolvê-los e melhorar suas competências. Contudo, isso só acontece em um ambiente baseado na transparência, segurança e confiança.

Outra maneira de ser abertamente avesso ao risco é permitir que a segurança seja o principal ponto de atrito com as implementações de DevSecOps. Uma reclamação comum sobre segurança em ambientes que implementam DevSecOps é que ele é muito complicado e retarda a inovação e a entrega.

Esta reclamação não é totalmente desprovida de mérito. Então, as organizações devem encontrar maneiras de implementar a segurança com o mínimo de atrito possível. Isso é feito:

Integrando-se aos fluxos de trabalho do desenvolvedor;
Incorporando especialistas em assuntos de segurança com equipes de desenvolvimento;
Estabelecendo líderes de segurança entre o desenvolvimento;
Adotando uma cultura de segurança em toda a organização

Expansão e fragmentação da ferramenta

O ritmo cada vez maior de transformação e inovação digital está estimulando o rápido crescimento do cenário nativo da nuvem. Felizmente, esse crescimento fornece uma vasta e rica seleção de ferramentas e aplicativos para ajudar a facilitar os objetivos de DevSecOps das organizações.

No entanto, essa rápida proliferação de ferramentas também cria um ambiente mais complexo e desarticulado para muitas organizações. Além disso, devido à expansão do conjunto de ferramentas, as organizações enfrentam desafios em torno da visibilidade e produtividade. Então, elas também estão procurando abraçar as opções de gerenciamento do conjunto de ferramentas para controlar a expansão e as ineficiências associadas que ela está causando.

Entretanto, esses problemas não são isolados do DevOps. Afinal, a segurança também está enfrentando seus próprios desafios associados à proliferação de ferramentas. As descobertas da 2020 Cloud Security Alliance (CSA) “Cloud-Based Intelligent Ecosystems” mostram que a maioria das organizações está lutando para identificar o quão bem suas ferramentas de segurança estão funcionando, se estão gerando ROI de valor, e que suas equipes estão lutando para acompanhar as ferramentas em seus ambientes.

Portanto, em um ecossistema de TI dinâmico e em rápida evolução como o em que nos encontramos, a expansão e a fragmentação de ferramentas são ameaças reais. Eles afetam a visibilidade, a produtividade e, o mais importante, a segurança. As ameaças continuam a proliferar e se suas organizações não tiverem visibilidade e controle reais, você certamente estará em risco e nem mesmo saberá disso.

Cultura de segurança fraca

As organizações e a indústria simplesmente não têm profissionais de segurança suficientes. O estudo ISC2 2020 Cybersecurity Workforce identificou uma escassez global de 3,12 milhões de profissionais de segurança cibernética.

Os profissionais de segurança estão em menor número nas organizações em comparação com seus colegas de desenvolvimento e operações. Junte a isso a realidade de que os desenvolvedores estão em uma posição-chave para mitigar preocupações de segurança no início do ciclo de vida de desenvolvimento de software (SDLC) e as equipes de operações estão preparadas para identificar anomalias operacionais e isso deve ser um esforço de equipe.

Então, o estabelecimento de uma cultura de segurança começa com a compreensão de que a segurança é responsabilidade de todos os envolvidos. Além disso, a comunicação e a conscientização das principais preocupações e princípios de segurança também podem ajudar muito.

Portanto, as equipes e funcionários de segurança devem deixar de ser vistos como o escritório do “não” e passar a ser vistos como um parceiro colaborativo que pode ajudar a alcançar resultados compartilhados, ao mesmo tempo que integra os principais requisitos de segurança em todos esses empreendimentos.

Achar que se pode “comprar” DevSecOps

Um dos principais erros na busca por DevSecOps cometidos por empresas está na falsa ideia de que podem simplesmente “comprar” DevSecOps. Por exemplo, “Se implementarmos pipelines de CI / CD, estamos fazendo DevSecOps”. Contudo, isso não é verdade.

DevSecOps é uma metodologia facilitada por pessoas, processos e tecnologia, sendo os dois primeiros potencialmente ainda mais importantes do que o último. Portanto, sem se esforçar para implementar uma cultura alinhada com os princípios ágil e DevSecOps, é improvável que você veja uma implementação de DevSecOps bem-sucedida até a maturidade.

O mesmo se pode dizer da não atualização e implementação de novos processos organizacionais alinhados com os referidos princípios e práticas. Afinal, forçar modelos operacionais antigos em tecnologias e práticas modernas simplesmente leva à confusão, ineficiência e frustração em toda a organização.

Isso estará presente entre as equipes que se esforçam para facilitar o DevSecOps. Contudo, também na liderança, que antecipa os principais resultados de negócios vinculados a uma implementação bem-sucedida do DevSecOps.

Existem muitos erros cometidos na implementação de DevSecOps. Afinal, essa não é mesmo uma tarefa fácil. Dito isso, quando feito de maneira correta e com paciência, enquanto se concentra nas competências-chave, pode colher enormes benefícios para as organizações.

O DevSecOps não tem potencial somente para maiores taxas de entrega, capacidade de resposta ao usuário, demanda de mercado e vantagem competitiva. O DevSecOps pode mitigar vulnerabilidades mais cedo, com mais economia e com muito mais eficiência do que os métodos tradicionais.

Alternativa

Contar com uma parceira de TI especializada pode fazer a diferença para o seu negócio. Afinal, ela saberá detectar e informar possibilidades de melhorias. A Infonova, por exemplo, atua nessa área há 20 anos. Portanto, é plenamente capaz de monitorar a segurança dos seus dados de forma assertiva e com custo acessível.

Sobre a Infonova

A Infonova já atendeu mais de 135 clientes dos mais diversos segmentos, desde corporate, governo, PME até indústria do entretenimento e saúde. Você pode conferir a lista completa de clientes satisfeitos da Infonova aqui.

A Infonova usa uma metodologia consolidada. Portanto, essa empresa de TI conta com depoimentos da maioria de seus clientes garantindo a qualidade do atendimento.

Em relação à confiança, a Infonova comprova sua transparência e seriedade logo no início do nosso contrato. Afinal, é quando realiza uma visita inicial de manutenção intensiva em todos os computadores da sua empresa e também servidores.

Inclusive, se você pedir, a Infonova oferece um mapeamento de todo seu ambiente de TI. Afinal, seu interesse é conhecer toda sua infraestrutura e, de cara, resolver todas as suas dores.

Resumindo, a Infonova faz um diagnóstico para identificar como está a sua TI. Então, avalia o que está bom, resolvemos o que está ruim e cria um projeto para o que é possível melhorar. Tudo isso sem custo. Ou seja, a Infonova conta com as melhores condições custo-benefício do mercado. Especialmente em relação a automação da infraestrutura em nuvem e outras inovações.

Perfil Infonova

A expertise da Infonova permite fornecer atendimento técnico local com escalas flexíveis definidas pelo cliente. Estas incluem:

Atendimento por demanda;
Disponibilização de equipes com 1 técnico local e retaguarda especializada;
Equipes completas com até 200 profissionais qualificados para assumir parte ou toda a operação de TI.

Colaboradores

O trabalho executado pela equipe da Infonova é primoroso. Afinal, essa empresa de TI se preocupa com seus funcionários. Ou seja, a Infonova oferece participação nos lucros aos seus colaboradores a fim de mantê-los sempre motivados. Além disso, a contratação dos analistas é CLT Full, o que reduz o turnover e aumenta a confiança.

Soluções

Como a empresa de TI completa que é, a Infonova tem soluções voltadas para PMEs, Governo e Corporate. Todas compreendem modelos flexíveis com início rápido e transição sem dor.

Confira a seguir:

Para saber mais sobre os serviços da Infonova, entre em contato pelo (11) 2246-2875 ou clique aqui.

Se quer saber mais sobre o que nossos clientes têm a dizer sobre nossos serviços, baixe gratuitamente nossos cases exclusivos.

Posts recentes

posts relacionados

O que é sustentabilidade empresarial?

25/07/2024 Nenhum comentário

Você provavelmente já ouviu muito os termos “sustentabilidade empresarial”, “responsabilidade corporativa” e “ESG” nos últimos anos. Quase duas décadas após

Qual é a importância da tecnologia?

23/07/2024 Nenhum comentário

A tecnologia testemunhou uma evolução impressionante nas últimas décadas, que por sua vez transformou as nossas vidas e ajudou-nos a

Como reduzir os custos do Microsoft 365?

19/07/2024 Nenhum comentário

Quando grandes empresas nos perguntam onde podem causar um impacto significativo na redução de gastos com TI, uma área na

Perguntas
frequentes

Já tenho quem me atenda hoje, como funciona a transição?

Nós falamos com o seu fornecedor atual e colhemos todas as informações necessárias diretamente com eles. Também podemos fazer o mapeamento de todas as informações diretamente na sua empresa.

Gostaria de reduzir custos e melhorar o desempenho, isso é possível?

SIM, é possível melhorar a qualidade e o desempenho e ainda reduzir custos. Essa eficiência é possível graças ao sistema de melhoria contínua que aplicamos há anos.

Tenho um time interno, vocês podem absorver os profissionais?

SIM, o time interno pode ser absorvido, com os profissionais se tornando colaboradores da Infonova.

Vocês cuidam da LGPD?

SIM. Em conjunto com seu departamento, ou consultoria jurídica, ajudamos a implantar as ações de TI necessárias para adequação da LGPD.

Como funciona a transição?

A transição pode ocorrer com ou sem o apoio do fornecedor atual. A Infonova vai mapear todas as informações, identificar os itens críticos e realizar a transição de forma segura, sempre em alinhamento com o cliente.

Quanto tempo leva a transição?

Em geral é rápida. O tempo exato depende de cada situação. O prazo mais comum de transição em paralelo é entre 1 semana e 15 dias.

Vou precisar investir muito?

NÃO. Temos soluções para empresas de 10 a 2.500 colaboradores. Desenvolvemos uma metodologia para atender empresas em diversos segmentos, em situações de crescimento ou retenção.

Como ficam os usuários home office?

Temos diversas soluções para proteger o acesso de usuários que ficam externos ou em home office.

Vocês trabalham com Azure, AWS ou Google Cloud?

SIM, trabalhamos com os principais provedores de nuvem e possuímos um datacenter próprio.