Home  >  Acervo

DevOps reforça ou enfraquece a segurança?

Opositores afirmam que a abordagem pode automatizar processos errados ou valer-se de métricas pobres, movendo a organização rumo a um cenário potencialmente perigoso

CSO

30/04/2015 às 18h45

devops_engrenagens.jpg
Foto:

DevOps ganha espaço nas estratégias corporativas, trazendo à reboque preocupações relativas a segurança. Ao propor uma abordagem veloz, muitas vezes gestores se questionam o quanto isso pode expor a empresa a ameaças. Afinal, trata-se de um modelo focado em métricas pautadas nos temas como produção e disponibilidade, o que, como consequência, pode abrir algumas brechas.

Quem embarcou primeiro nessa tendência argumenta que, quando bem feita, a abordagem tende a fortalecer a segurança de uma companhia. Justin Arbuckle, vice-presidente na empresa de automação Chef, não mede palavras para destacar essa característica. O executivo está familiarizado desde os tempos que atuou como arquiteto-chefe na GE Capital, onde era defensor de métodos ágeis e abordagens de desenvolvimento e entrega contínua de softwares.

Ele que muitas, se não a maioria, das organizações simplesmente não estão desenvolvendo sistemas ou infraestruturas suficientemente resilientes ou mesmo mantendo padrões de conformidade – e que assim nunca serão capazes de realmente automatizar ao máximo os controles de segurança e compliance.

“Acho que muito do que pensamos como algo ‘em conformidade’ hoje em dia é um mito completo”, comenta Arbuckle, afirmando que existem tantos pontos para respeitar que acabam limitando o avanço de estratégias. “Então o que se faz é decidir pelo que é bom o suficiente e se estão preparadas para seguir nessa direção”, adiciona.

O vice-presidente afirma ter mais incertezas ainda sobre essa questão nos momentos que as empresas clamam que estão gerenciando sua postura de riscos. “Acho que o número de organizações com políticas totalmente detalhadas - e implementadas - se conta nos dedos de uma mão”, avalia.

Na sua opinião, as equipes que controlam as ameaças de segurança têm que aprender e responder como irão seguir rumo a uma cultura DevOps para estabelecer normas que reduzam riscos. Segundo ele, a única maneira para a organização fazer isso é através de um processo de documentação, política e verificações, adaptando isso de forma que não reduza a velocidade do modelo.

Opositores do DevOps, no entanto, afirmam que a abordagem traz o risco de automatizar processos errados ou valer-se de métricas pobres, movendo a organização para longe da mensuração dos riscos de segurança e compliance reais para apenas medir riscos e ameaças que facilmente mensuráveis, criando uma falsa sensação se segurança, o que pode ser potencialmente perigoso.

Andrew Storms, vice-presidente de serviços de segurança na consultoria New Context, diz que enquanto algumas preocupações sobre uma ida rápida ao modelo são válidas, outras se embasam apenas no fator medo. “Muitos veem que a organização reuniu desenvolvedores à equipe de operações e temem que tudo se tornará em um ambiente selvagem”, comenta. “No entanto, temos mostrado mais e mais ao longo dos anos que unir esses grupos de profissionais traz um impacto positivo enorme”.

Embora processos de testes de segurança sempre devam ser parte integrante do fluxo de trabalho em DevOps, isso não é realidade em muitas organizações. As corporações sempre se esforçaram para integrar adequadamente seus mecanismos de proteção, mas os desafios se transformam a cada transição de modelos e abordagens.

Storms acredita que o conceito provê uma oportunidade para que a segurança venha casada com o fluxo de trabalho. “Uma das melhores formas de unir esses dois pontos é utilizando ferramentas e processos que realmente se destacam em DevOps e aplicá-los de forma segura”, afirma, citando questões como automação, orquestração e instrumentação nesse bolo de possibilidades.

“Vamos usar essas ferramentas para construir sistemas de segurança de circuito fechado, onde tudo é automatizado e tudo está previsível. Essa é uma maneira que realmente nos permitirá cumprir os requisitos de forma automatizada e com menos necessidade de recursos”, avalia.

Deixe uma resposta