Boa comunicação, entendimento mútuo das metas, processos e infraestrutura adequados garantirão uma melhor colaboração entre as equipes de segurança e nuvem. Contudo, como conseguir isso?
Uma melhor colaboração entre equipes de segurança e engenheiros de nuvem deve crescer naturalmente com a maturidade da nuvem. Portanto, evite que a segurança seja vista como o “departamento do não” pela equipe de nuvem.
No entanto, esses esforços precisam vir da gerência e das próprias equipes por meio da construção de relacionamentos adequados, compartilhamento de dados e outros esforços entre equipes. Então, com um pouco de proatividade e comunicação entre as equipes, você pode quebrar os silos tradicionais para garantir que ambas as equipes possam dar o melhor suporte à outra quando ocorrer uma violação.
Então, confira a seguir algumas dicas sobre como melhorar a colaboração entre equipes de segurança e engenheiros de nuvem.
Faça perguntas com antecedência; fale cedo e abertamente
Conforme o ponto de vista de arquitetos de segurança, salvaguardar a confiança e a privacidade dos usuários do sistema é responsabilidade de todos na empresa. Portanto, ambas as equipes devem questionar como podem tornar a segurança mais fácil e menos intrusiva.
Contudo, além disso, também é indicado que a colaboração entre equipes de segurança e nuvem se baseie na discussão sobre como remover o atrito. Afinal, assim, as aprovações e a integração de recursos essenciais, como orçamento, gerenciamento de identidade e acesso ou atribuição de domínio, poderão acontecer com mais rapidez.
Portanto, invista em canais online compartilhados para fazer perguntas. No entanto, se necessário, as equipes devem definir desde o início a melhor maneira de fazer perguntas umas às outras para economizar tempo e esforço.
Defina o que é sucesso para ambas as equipes para evitar conflitos mais tarde
Ambas as equipes precisam de uma definição antecipada do que significa “bom” para cada uma. Contudo, a resposta deve levar em conta os critérios de segurança da sua organização. Não obstante, a resposta precisa satisfazer também as partes interessadas da organização que definem o orçamento ou que aprovam o projeto para prosseguir.
Portanto, o ideal é criar um consenso desde o início. Para isso, você pode rever o conceito do projeto e os serviços envolvidos com a equipe de segurança em alto nível e descobrir quais são suas preocupações imediatas. Afinal, definir pontos de atenção com antecedência dá a ambas as equipes algo para olhar mais tarde ao revisar as preocupações.
Já resolver conflitos é, em última análise, uma decisão de negócios. Portanto, é uma das primeiras e mais críticas coisas que deve ser feita em ambos os lados. Então, não torne as decisões de segurança uma questão pessoal. Trabalhe em conjunto para acelerar quando os itens são perdidos. Concentre-se no que o negócio precisa e como chegar lá junto, não na história de como a equipe ou projeto chegou lá em primeiro lugar.
Gerencie os privilégios da conta na nuvem de forma rigorosa
Estrategistas de segurança cibernética também defendem uma gestão rígida sobre os privilégios de conta. Afinal, é possível oferecer uma visão granular das contas e privilégios de usuário da equipe de nuvem. Contudo, é importante que ambas as equipes entendam e aceitem a necessidade de controlar o acesso antecipadamente.
Quando um engenheiro de nuvem tem mais privilégios de administrador do que seu trabalho exige, um invasor pode roubar tudo, desde dados a máquinas virtuais, caso as credenciais desse engenheiro sejam roubadas. Portanto, os engenheiros de nuvem devem solicitar apenas os privilégios de que precisam para realizar seus trabalhos e nada mais.
Consequentemente, as equipes de segurança devem conceder apenas os privilégios necessários à equipe da nuvem para que possam fazer seu trabalho. No entanto, a equipe de segurança precisa ter um fluxo de trabalho definido para solicitar escalonamento de privilégios embutido no sistema de tíquetes de sua organização. Então, novamente, trabalhe com a equipe de nuvem na criação desse processo. Ou seja, transforme isso em uma discussão ao invés de em uma ordem.
Implante ferramentas de compartilhamento de informações
É muito importante usar ferramentas nativas da nuvem e de terceiros que oferecem suporte ao compartilhamento de informações entre as equipes. Então, gaste o tempo inicial para configurar a segurança e as visualizações de gerenciamento de nuvem que oferecem suporte às suas perspectivas de negócios e aplicativos.
As ferramentas de compartilhamento de informações podem assumir a forma de plataforma de gerenciamento de nuvem (CMP), plataforma de gerenciamento de informações e eventos de segurança (SIEM) ou outras ferramentas de segurança e gerenciamento de back-end. Contanto que forneçam dados e análises que ambas as equipes precisam ver durante o ciclo de vida de desenvolvimento de software até a implantação em operações
Além disso, mantenha canais de comunicação abertos entre as equipes por meio do Microsoft Teams, Slack ou outra plataforma de chat em grupo. Você pode fazer isso configurando canais compartilhados para comunicações entre equipes ou projetos. Contudo, também é recomendado que cada equipe indique uma pessoa responsável para compartilhar e construir o relacionamento de colaboração entre as equipes de segurança e nuvem.
Concentre-se nos dados, não apenas na tecnologia, para encontrar um terreno comum
Para haver colaboração entre segurança e nuvem, ambas as equipes precisam se concentrar nos dados, não na tecnologia. Como profissionais de escopo técnico, isso pode parecer estranho. Contudo, é fundamental.
Afinal, as empresas não são multadas por problemas de tecnologia. Elas são multadas devido a violações de dados que comprometeram informações de identificação pessoal (PII) ou informações pessoais de saúde (PHI) regulamentadas. Portanto, recomenda-se que as equipes de nuvem sejam abertas e transparentes sobre onde a organização está armazenando seus dados e documentem os locais.
Também porque, se a equipe de segurança não tem conhecimento de onde os dados estão armazenados, eles não podem coletar qualquer telemetria ou implantar quaisquer controles de segurança complexos.
Mantenha uma cópia impressa de sua documentação de segurança e nuvem
É importante documentar suas principais decisões de segurança e nuvem. Contudo, também é fundamental manter versões impressas desses documentos acessíveis a ambas as equipes em casos de um ataque de ransomware ou outra intrusão que possa cortar suas equipes de sua documentação online armazenada em sistemas de back-end.
Mesmo se você não tiver acesso a redatores técnicos em tempo integral, Atlassian Confluence e outras plataformas permitem que você exporte conteúdo para formatos compatíveis com o Microsoft Word. Então, você pode imprimi-lo em papel e colocar em um fichário para que suas equipes acessem em casos de emergências.
O truque é se ater a formatos simples e criar um cronograma de manutenção ou até mesmo um exercício de mesa que avise suas equipes para não se esquecerem de atualizar a versão impressa de seus documentos.
Alternativa
Você pode delegar toda essa questão a empresas especializadas. Na área de TI, por exemplo, a Infonova reúne os melhores profissionais com conhecimentos diversos e perfis diferenciados, seja em segurança ou nuvem. Além disso, também está acostumada a mediar a interação entre áreas distintas do negócio. Afinal, a Infonova atua nessa área há 20 anos. Portanto, é plenamente capaz de garantir que seu ambiente tecnológico esteja sempre em boas mãos.
Sobre a Infonova
A Infonova já atendeu mais de 135 clientes dos mais diversos segmentos, desde corporate, governo, PME até indústria do entretenimento e saúde. Você pode conferir a lista completa de clientes satisfeitos da Infonova aqui.
A Infonova usa uma metodologia consolidada. Portanto, essa empresa de TI conta com depoimentos da maioria de seus clientes garantindo a qualidade do atendimento.
Em relação à confiança, a Infonova comprova sua transparência e seriedade logo no início do nosso contrato. Afinal, é quando realiza uma visita inicial de manutenção intensiva em todos os computadores da sua empresa e também servidores.
Inclusive, se você pedir, a Infonova oferece um mapeamento de todo seu ambiente de TI. Afinal, seu interesse é conhecer toda sua infraestrutura e, de cara, resolver todas as suas dores.
Resumindo, a Infonova faz um diagnóstico para identificar como está a sua TI. Então, avalia o que está bom, resolvemos o que está ruim e cria um projeto para o que é possível melhorar. Tudo isso sem custo. Ou seja, a Infonova conta com as melhores condições custo-benefício do mercado. Especialmente em relação a automação da infraestrutura em nuvem e outras inovações.
Perfil Infonova
A expertise da Infonova permite fornecer atendimento técnico local com escalas flexíveis definidas pelo cliente. Estas incluem:
- Atendimento por demanda;
- Disponibilização de equipes com 1 técnico local e retaguarda especializada;
- Equipes completas com até 200 profissionais qualificados para assumir parte ou toda a operação de TI.
Colaboradores
O trabalho executado pela equipe da Infonova é primoroso. Afinal, essa empresa de TI se preocupa com seus funcionários. Ou seja, a Infonova oferece participação nos lucros aos seus colaboradores a fim de mantê-los sempre motivados. Além disso, a contratação dos analistas é CLT Full, o que reduz o turnover e aumenta a confiança.
Soluções
Como a empresa de TI completa que é, a Infonova tem soluções voltadas para PMEs, Governo e Corporate. Todas compreendem modelos flexíveis com início rápido e transição sem dor.
Confira a seguir:
Para saber mais sobre os serviços da Infonova, entre em contato pelo (11) 2246-2875 ou clique aqui.
Se quer saber mais sobre o que nossos clientes têm a dizer sobre nossos serviços, baixe gratuitamente nossos cases exclusivos.
Fonte:
