SecOps

SecOps, também conhecido como SecDevOps ou DevSecOps, é uma denominação da Ciência da Computação que surgiu com o objetivo de definir a integração de processos de segurança da informação às atividades de desenvolvimento e operações dentro do segmento de tecnologia. Formado por profissionais especializados em segurança e TI, o time de SecOps determina o sucesso na prevenção a ataques cibernéticos.^[1]

O termo nasceu a partir da ascensão da metodologia DevOps e consequentemente com o aumento da arquitetura de Software como serviço, onde o software desenvolvido é essencialmente hospedado em ambientes nuvem, com integração e entrega contínuas surgiu a necessidade do mercado de integrar processos de segurança dentro desse escopo de agilidade, além de tentar sobrepor as dificuldades no gerenciamento de software entre times de maneira confiável.

A metodologia SecOps se propõe a ajudar os programadores a criar códigos levando em consideração a segurança, além de evitar ruídos entre setores de desenvolvimento, segurança e operações. Um diferencial é que dentro desta metodologia, a segurança está sob a responsabilidade de todos os integrante da equipe, independente do aspecto da organização.^[2]

Etimologia

O termo SecOps deriva da junção das palavras security e operations, ou SecDevOps, security, development e operations.

Une segurança, desenvolvimento de software e operações das tecnologias.

Integração com DevOps

A literatura descreve maneiras nas quais as atividades da metodologia DevOps impactam o setor de segurança da informação, tanto em aspectos positivos quanto negativos com o uso mais intenso de automações nos monitoramentos, deployments e testes, prevendo uma intuitiva diminuição no esforço e no tempo que seriam empregados nessas tarefas se feitas manualmente, alguns autores também destacam que o uso não otimizado pode acarretar em novos débitos técnicos em um projeto.^[3]

Apesar das atuais equipes de desenvolvimento também focarem em desenvolver de forma segura, na maioria das vezes, elas demonstram maior preocupação com inovação e desenvolvimento acelerado, não só provendo soluções para um grande número de pessoas, mas também buscando sempre agregar o maior valor possível para o mercado. Dessa forma se torna imprescindível mesclar a implementação de novas tecnologias com ações que garantam mais segurança.

A coordenação entre as equipes de operação e de SecOps deve acontecer de maneira continua e utilizando o máximo de ferramenta automáticas para garantir fluidez de comunicação durante o desenvolvimento de novas tecnologias, permitindo o ajuste rápido a possíveis falhas de segurança que possam ocorrer.^[4]

As práticas e políticas relacionadas a segurança são muitas vezes tidas como "empecilhos" para o desenvolvimento ágil, um bloqueador que pode impactar o tempo de entrega de um projeto, dessa forma é necessário que, com a integração do SecOps, seja construída uma ponte cultural entre as frentes de desenvolvimento garantindo um constante alinhamento que é necessário para atingir a velocidade de entrega desejada, sempre mantendo em mente que as entregas devem incluir todas as dimensões, desenvolvimento, segurança e infraestrutura.^[5]

Características

Alguns autores definem SecOps por algumas características baseadas tanto em DevOps quanto nos princípios CAMS (Cultura, Automação, Monitoramento e Compartilhamento) com adição de conceitos de segurança.^[6]

Cultura

Se baseia na ideia de promover colaboração entre os times de desenvolvimento, segurança e operações, disseminando a ideia de um mesmo princípio: a entrega de software para o usuário final. Em outros momentos da engenharia de software a equipe de segurança não participaria ativamente das decisões de planejamento, em SecOps isso é mandatório e necessário para uma boa implantação da metodologia.

Automação

É comum em ambientes de desenvolvimento de software o uso de automação para alcançar entregas e feedbacks mais rápidos do usuário. Em SecOps, promove-se o foco em segurança nas automações para que essas entregas estejam também dentro dos padrões de qualidade. É importante que a maneira como essa metodologia é implementada não impacte na agilidade, mas sim traga resultados mais consistentes.

Monitoramento

O monitoramento é a etapa que inclui acompanhar métricas de negócio, como Indicadores-chave de desempenho (KPIs), como as novas versões do software podem impactar nesses indicadores e como minimizar esses impactos. Em SecOps o monitoramento é muito focado em ameaças e vulnerabilidades em tempo real, com o objetivo de observar a qualidade e a segurança do objeto de estudo em todas as fases de implantação.

Compartilhamento

Tradicionalmente a equipe de segurança dentro do processo de desenvolvimento de software fica mais próxima do fim do ciclo de projeto, SecOps promove a integração desse time dentro do escopo de concepção e desenvolvimento, tanto com objetivo de mudar a mentalidade de todo processo como de incluir maturidade no que tange aspectos relacionados à segurança da informação.

Práticas

Existe um conjunto de boas práticas definidos na literatura dentro da metodologia SecOps,^[3] entre estas destacam-se:

Automação contínua de testes

Controles de segurança automatizados em todas as partes do desenvolvimento de software são fatores importantes para garantir entregas seguras e permitir que os testes detectem anomalias em diferentes fases do processo.

Monitoração contínua dos serviços e sistemas.

É importante gerar evidências dos controles de segurança automatizados ao longo do processo, para que estes possam gerar o melhor resultado possível é necessário o acompanhamento de ponta-a-ponta.

Segurança como código

Segurança como código significa o processo de definir políticas de segurança com o uso de modelos de script (templates) ou arquivos de configuração que podem ser ativados automaticamente de acordo com agendamentos ou manualmente pelo usuário.

Benefícios

Dentre os benefícios da SecOps para uma organização estão:

Proteção contínua
Respostas rápidas e efetivas
Diminuição nos custos de operações e violações
Prevenção de ameaças
Expertise de Segurança
Conformidade
Comunicação e colaboração
Integração da equipe de segurança nos processos de concepção
Automações
A união de todos os benefícios citados acima resulta em uma organização com uma melhor reputação no mercado.^[7]

Funções numa equipe de SecOps

A forma com a qual uma organização define seu time de SecOps irá determinar o quão sucedida ela será na prevenção de ataques cibernéticos.^[7]

Existem três funções chave para qualquer time de SecOps:

Engenheiro/Arquiteto de Segurança: profissional responsável por adminstrar toda a arquitetura de segurança, garantir que a arquitetura é parte do ciclo de desenvolvimento, avaliar e testar as ferramentas e garantir a conformidade.
Analista de Segurança Avançado: identifica vulnerabilidades, analisa ameaças antigas, recomenda produtos, processos e alterações de ferramentas.
Investigador de Segurança: identifica hosts e aparelhos afetados, avalia processos em execução e finalizados, realiza análises de ameaças, elabora e implanta estratégia de mitigação e readicação.

Referências

↑ «What Is SecOps | SecOps Definition: Redefining core security capabilities – Salt Project» (em inglês). Consultado em 6 de maio de 2021
↑ Mohan, Vaishnavi; Othmane, Lotfi Ben (agosto de 2016). «SecDevOps: Is It a Marketing Buzzword? - Mapping Research on Security in DevOps». Salzburg, Austria: IEEE: 542–547. ISBN 978-1-5090-0990-9. doi:10.1109/ARES.2016.92. Consultado em 6 de maio de 2021
↑ ^a ^b «SecOps ou DevSecOps - que bicho é este ? pra que serve?». Minuto da Segurança da Informação (em inglês). 12 de agosto de 2019. Consultado em 6 de maio de 2021
↑ Farroha, B.S.; Farroha, D.L. (outubro de 2014). «A Framework for Managing Mission Needs, Compliance, and Trust in the DevOps Environment». IEEE. ISBN 978-1-4799-6770-4. doi:10.1109/milcom.2014.54. Consultado em 6 de maio de 2021
↑ Chadwick, Simon (março de 2018). «The Worst Kept Secret in Market Research». Research World (69): 40–44. ISSN 1567-3073. doi:10.1002/rwm3.20645. Consultado em 6 de maio de 2021
↑ Myrbakken, Håvard; Colomo-Palacios, Ricardo (2017). Mas, Antonia; Mesquida, Antoni; O'Connor, Rory V.; Rout, Terry; Dorling, Alec, eds. «DevSecOps: A Multivocal Literature Review». Cham: Springer International Publishing: 17–29. ISBN 978-3-319-67382-0. doi:10.1007/978-3-319-67383-7_2. Consultado em 6 de maio de 2021
↑ ^a ^b «What Is SecOps? Everything You Need to Know». SearchSecurity (em inglês). Consultado em 6 de maio de 2021

[1] «What Is SecOps | SecOps Definition: Redefining core security capabilities – Salt Project» (em inglês). Consultado em 6 de maio de 2021

[2] Mohan, Vaishnavi; Othmane, Lotfi Ben (agosto de 2016). «SecDevOps: Is It a Marketing Buzzword? - Mapping Research on Security in DevOps». Salzburg, Austria: IEEE: 542–547. ISBN 978-1-5090-0990-9. doi:10.1109/ARES.2016.92. Consultado em 6 de maio de 2021

[:1-3] «SecOps ou DevSecOps - que bicho é este ? pra que serve?». Minuto da Segurança da Informação (em inglês). 12 de agosto de 2019. Consultado em 6 de maio de 2021

[4] Farroha, B.S.; Farroha, D.L. (outubro de 2014). «A Framework for Managing Mission Needs, Compliance, and Trust in the DevOps Environment». IEEE. ISBN 978-1-4799-6770-4. doi:10.1109/milcom.2014.54. Consultado em 6 de maio de 2021

[5] Chadwick, Simon (março de 2018). «The Worst Kept Secret in Market Research». Research World (69): 40–44. ISSN 1567-3073. doi:10.1002/rwm3.20645. Consultado em 6 de maio de 2021

[6] Myrbakken, Håvard; Colomo-Palacios, Ricardo (2017). Mas, Antonia; Mesquida, Antoni; O'Connor, Rory V.; Rout, Terry; Dorling, Alec, eds. «DevSecOps: A Multivocal Literature Review». Cham: Springer International Publishing: 17–29. ISBN 978-3-319-67382-0. doi:10.1007/978-3-319-67383-7_2. Consultado em 6 de maio de 2021

[:0-7] «What Is SecOps? Everything You Need to Know». SearchSecurity (em inglês). Consultado em 6 de maio de 2021

[1]

[2]

[3]

[4]

[5]

[6]

[7]

v d e Processo de desenvolvimento de software
Atividade e passos	Requisito · Projeto de software · Arquitetura · Especificação · Implementação · Teste · Depuração · Implantação · Manutenção
Modelos/Metodologias	Cascata · Protótipo · Ágil · Cleanroom · Modelo V · RAD · DSDM · PU · RUP · Espiral · XP · Scrum · TDD · BDD · FDD
Disciplinas de apoio	Gerência de configuração · Documentação · Experiência do usuário
Ferramentas	Compilador · Depurador · Gprof · Construtor de GUI · IDE · Automação de compilação

v d e Tópicos de Ciência da computação
Matemática	Lógica matemática Teoria dos conjuntos Teoria dos números Teoria dos grafos Teoria dos tipos Teoria das categorias Análise numérica Teoria da informação Combinatória Álgebra booliana
Teoria da computação	Teoria dos autômatos Teoria da computabilidade Complexidade computacional Teoria da computação quântica
Algoritmos, estrutura de dados	Análise de algoritmos en:Algorithm design Otimização combinatória Geometria computacional
Linguagens de programação, compiladors	Parsers Interpretador Programação procedural Programação orientada a objetos Programação funcional Programação lógica Paradigma de programação
Concorrência, paralela, sistemas distribuídos	Multiprocessamento Computação em grelha
Engenharia de software	Análise de requerimento de software Projeto de software Programação de computadores Métodos formais Teste de software Processo de desenvolvimento de software
Arquitetura de sistemas	Arquitetura de computadores Sistemas operacionais
Telecomunicações, redes	Roteamento Topologia de rede Criptografia en:Computer music
Base de dados	Banco de dados Banco de dados relacional SQL Transações Índices de base de dados Mineração de dados
Inteligência artificial	Linguística computacional Visão computacional Computação evolutiva Sistema especialista Aprendizado de máquina Processamento de linguagem natural Robótica en:Automated reasoning
Computação gráfica	Visualização Animação digital Processamento de imagem Renderização
Interação humano-computador	Acessibilidade Interface do usuário Computação vestível Computação ubíqua Realidade virtual
Computação científica	Vida artificial Bioinformática Ciência cognitiva Química computacional Neurociência computacional Física computacional Algoritmos numéricos Matemática simbólica
Hardware	Microcontrolador Microprocessador Disco Rígido Memória Modem Placa-mãe Placa de rede Placa de Som Placa de Vídeo Placa sintonizadora de TV Mouse Teclado Impressora Digitalizador
Cientistas	Alan Kay Alan Turing Ada Lovelace Charles Babbage Donald E. Knuth Douglas Engelbart Edsger W. Dijkstra Eric S. Raymond John von Neumann Larry Wall Marvin Minsky Noam Chomski Richard M. Stallman
Anexos:Lista de...	Termos de computação - Etimologias de termos usados em computação
Note: A ciência da computação também pode ser dividida em diferentes tópicos ou áreas de acordo com o en:ACM Computing Classification System.