7 minutos de leitura
A pandemia acelerou o trabalho remoto nas organizações. Isso traz benefícios notáveis: as empresas podem economizar em custos imobiliários, contratar e utilizar talentos globalmente, mitigar problemas de imigração e obter ganhos de produtividade.
Antes de 2020, um movimento estava se formando no ambiente corporativo. A tecnologia pessoal e a conectividade digital avançaram tanto e com tamanha rapidez que os times de TI começaram a perguntar: precisamos realmente estar juntos, em um escritório, para fazer nosso trabalho?
A prova veio durante os bloqueios da pandemia. Aprendemos que muitos de nós, na verdade, não precisam estar no mesmo local que um colega para fazer nossos trabalhos. Indivíduos, equipes e forças de trabalho inteiras podem ter um bom desempenho enquanto estão totalmente distribuídos.
Portanto, agora enfrentamos novas questões: o work from anywhere veio para ficar? Como ter mais segurança em times de TI?
Atualmente, a maior preocupação para os diretores de TI e segurança da informação é manter a postura de segurança cibernética de sua organização durante um período em que muitos colaboradores, inclusive os de TI, trabalham em casa.
De acordo com um levantamento da Trend Micro, 75% dos mais de 3,4 mil executivos ouvidos acreditam que suas organizações serão invadidas com sucesso até o final de 2022. É uma batalha travada todos os dias, em que não há chance para descanso.
O Zero Trust Security, hoje, é uma das opções capazes de trazer mais tranquilidade para as empresas. Ele é um modelo de segurança da informação que nega acesso a aplicações e dados por padrão.
A prevenção de ameaças é alcançada apenas concedendo acesso a redes e workloads, utilizando políticas formadas por verificação contínua, contextual e baseada em risco entre usuários e seus dispositivos associados.
Em arquiteturas modernas, que normalmente são construídas com componentes diversos espalhados por vários locais globais, a segurança e o gerenciamento de TI se tornaram um grande desafio (e dor de cabeça) para as equipes. O Zero Trust fornece um modelo de segurança simplificado que responde a esse desafio.
De acordo com o relatório Verizon DBIR 2022, 61% das violações envolveram credenciais. Credenciais comprometidas colocam a organização em risco, pois permitem que o invasor progrida lateralmente na rede enquanto se apresenta como um usuário legítimo.
Um dos desastres de credenciais comprometidas mais famosos foi o ataque Solarwinds, no qual uma senha comprometida permitiu que invasores acessassem milhares de organizações, incluindo o governo federal dos EUA e empresas como Microsoft, Intel e Cisco.
Porém, com o modelo Zero Trust, um invasor só pode progredir até onde as credenciais comprometidas o levarem. Ao autorizar usuários para cada aplicação e ocultar a rede da vista, ele limita significativamente o raio de explosão de credenciais comprometidas, impedindo que invasores obtenham acesso livre a toda a rede organizacional.
O local de trabalho moderno não compreende mais grupos presentes fisicamente no mesmo local. Em vez disso, os times de TI estão geograficamente dispersos pelo mundo.
No modelo Zero Trust Security, a localização geográfica do usuário é irrelevante. Isso ocorre porque ele não depende da confiança implícita para dar acesso — ou seja, um usuário não precisa estar fisicamente na rede da empresa ou conectado a uma VPN insegura remotamente.
Em vez disso, cada usuário é verificado continuamente, independentemente da rede que está usando e de sua localização. Isso ajuda a melhorar a segurança organizacional, reduzindo o risco de acesso externo à rede.
O Zero Trust na verdade elimina parte desse atrito de segurança. Como ele verifica cada usuário, o time de TI não precisa mais se conectar por meio de VPNs ou passar por firewalls, além de não estarem impedidos de acessar as aplicações de que precisam quando trabalham remotamente.
Essa abordagem cria confiança e incentiva os DevOps a cooperarem, o que também aprimora a postura de segurança de uma organização.
Apesar de ganhar popularidade, o Zero Trust Security ainda é considerado um conceito ou estratégia, não um método ou uma série de etapas a serem seguidas. Colocar a teoria em prática requer muito trabalho braçal — principalmente quando o assunto é o desenvolvimento de produtos digitais.
Só que esses desafios podem ser simplificados ao adotar uma plataforma utilizada por mais de 50 milhões de desenvolvedores em todo o mundo.
A segurança dos times de TI, principalmente dos que trabalham em home office, é facilitada ao ter um código mais seguro. O uso de uma plataforma como o GitHub Enterprise transforma open source em colaboração para inovação, automatizando workflows e trazendo proteção para todo o seu processo de desenvolvimento de produtos digitais.
Além disso, tendo times em toda a empresa usando a mesma plataforma, torna-se muito fácil implementar mudanças administrativas e updates em grande escala, em vez de encarregar cada time de gerenciar suas próprias ferramentas.
O GitHub Advanced Security é um conjunto de ferramentas voltado para a criação de código seguro em processos DevOps. A solução respeita políticas de governança da empresa, favorecendo melhorias de vulnerabilidades e protegendo o ciclo de vida do software.
A ferramenta inclui desde a análise de cada etapa do processo de desenvolvimento até novas funcionalidades do GitHub, como Code Scanning, uma abordagem que auxilia na busca de vulnerabilidades antes que elas cheguem na etapa de produção.
Essas funcionalidades ajudam a impor processos de desenvolvimento que garantem a segurança dos times de TI e permitem um ambiente de compilação consistente, repetível e transparente. Elas também facilitam a automatização dos ambientes de desenvolvimento bem-sucedidos sem laboratórios de segurança.
A implementação de uma plataforma como o GitHub ajudará a sua organização a dar mais alguns passos na direção do Zero Trust em segurança de times de TI. Quer saber mais sobre o assunto? Veja 4 formas de usar GitHub Advanced Security para assegurar a qualidade e a segurança do código.
