Em reunião do CISO Forum Brazil 2022, Marcello Zillo diz que até as empresas mais tradicionais já compreenderam que não se trata de uma questão de adotar a nuvem ou não, mas sim, de quando
As empresas procuram por agilidade, pois estão buscando por um processo de transformação digital, e a nuvem é um pilar fundamental para trazer agilidade, independência e criação de novos produtos e serviços. Além disso, muitas dessas empresas também querem reduzir custo, aumentar a segurança, a resiliência e a escala. Isso foi o que explicou Marcello Zillo, Latam Security Lead da AWS, em reunião de líderes do CISO Forum Brazil 2022.
“Quando falamos em empresas que têm uma certa resistência, o que percebemos no mundo todo, é que as mais tradicionais já entenderam que não é uma questão de adotar a nuvem ou não, e sim, quando adotar”, disse o especialista da AWS, reforçando a necessidade da adoção de metodologias e ferramentas mais ágeis nos dias de hoje. Para ele, a segurança é uma questão de qualidade e deve estar enraizada na cultura organizacional. “Deve ser uma prioridade Top-Down e o time deve criar mecanismos para que a segurança seja fácil, transparente e presente no dia a dia de todos os colaboradores”.
De acordo com Zillo, a Amazon e a AWS trabalham em um modelo chamado Two Pizza Teams – times pequenos formados por até 12 pessoas, que são donos dos produtos e serviços ou também donos de funcionalidades de produtos. Cada um deles tem autonomia de decisão, com o objetivo de trazer agilidade e independência no processo de criação de novas tecnologias e inovação. “Os Two Pizza Teams – times responsáveis pelo serviço e pelas funcionalidades de todos os serviços que a gente oferece – possuem KPI de segurança e foram criados com o objetivo de permitir agilidade e segurança ao mesmo tempo, de forma descentralizada”, explicou.
Zillo ainda explicou que os times têm dependência para criar mecanismos de segurança que podem ser compartilhados entre os Two Pizza Teams, e isso faz com que a experiência dos builders – pessoas que constroem soluções – seja melhor. No entanto, o especialista da AWS ressaltou que ainda existem padrões de segurança que precisam ser adotados nas empresas.
Desde 2006, quando a AWS foi criada, já estava claro que o modelo tradicional de segurança não funcionaria. Por isso, foi desenvolvido um programa chamado AWS Guardians, com o objetivo de não só descentralizar a segurança, mas também dar conhecimento de segurança para pessoas dentro de cada um dos Two Pizza Teams e de cada um dos times de serviço. A implantação desse novo modelo resultou em mais de 2 mil engenheiros de softwares capacitados e habilitados como AWS Guardians.
“Essas pessoas formam um time virtual de segurança, mas eles não reportam para o CISO e nem diretamente para a estrutura de segurança. No entanto, eles são os SME (Subject Matter Expert), dentro daquele time, dentro daquele TPT, responsáveis por segurança e parte deste programa Guardians – que tem como finalidade ensinar esses engenheiros a pensar em segurança, não só no ponto de vista de aplicação, mas também do ponto de vista de mapear as ameaças”, complementou Marcello, contando ainda que houve uma redução drástica no começo, no volume de findings e da redução do tempo de correções de segurança em cada um dos produtos e serviços que têm os TPT.
O especialista da AWS disse que um dos segredos é capacitar os Guardians, com conhecimento de Cloud Security. Assim é possível disseminar conhecimento, ganhar escala e conseguir mais pessoas empenhadas na comunidade. Para isso, existem pilares de modernização da segurança. O primeiro deles é a otimização, que vai depender do entendimento de quais serviços você está utilizando e qual a sua responsabilidade de segurança naquele serviço. O segundo é a automatização, que, de acordo com o especialista, não existe modernização da segurança com foco em nuvem sem automatização. Por último, mas não menos importante, o desenvolvimento dos builders, bem como métricas para acompanhamento da evolução do modelo.
No mais, Marcello Zillo ressalta que através de mecanismos de automação, uso de APIs e recursos Cloud é possível criar uma imagem segura na nuvem e disponibilizar uma imagem do sistema operacional segura para os desenvolvedores.