Por que toda agência federal precisa de uma estratégia de aplicações corporativas e como desenvolver uma

Executivos de TI em agências federais dos EUA precisam caminhar na corda bamba para entregar mais valor e, ao mesmo tempo, reduzir o desperdício e minimizar perdas devido a ataques cibernéticos. Por um lado, os líderes de TI devem adotar a tecnologia mais recente para desbloquear maior eficiência, entregar mais valor e economizar dinheiro do contribuinte. Por outro lado, eles enfrentam um cenário de ameaças em evolução e expansão, que exige recursos significativos para mitigar. Em suma, com cada iniciativa e cada decisão, eles devem inovar e proteger. Para navegar por esses objetivos aparentemente opostos, os líderes federais de TI devem desenvolver uma estratégia de aplicativo empresarial, adaptada à sua missão organizacional.

65% dos entrevistados no relatório F5 2019 State of Application Services disseram que suas organizações estão no meio de uma transformação digital. A transformação digital é uma nova maneira de as organizações usarem a tecnologia para permitir melhorias profundas no desempenho e na produtividade do usuário.

Em suma, os aplicativos estão se tornando o próprio negócio ou missão.

Para aproveitar essa mudança radical, as organizações estão fazendo mudanças radicais em busca de novos modelos operacionais de negócios e de TI, como:

• Contar com serviços SaaS, como e-mail baseado em nuvem e ferramentas de produtividade
• Conteinerização de aplicativos personalizados para simplificar o gerenciamento e reduzir custos
• Usando serviços de segurança em nuvem para determinar ataques rapidamente e aplicar políticas dependendo das regras organizacionais.

Os aplicativos estão sendo entregues a vários tipos diferentes de dispositivos. Os usuários que acessam os aplicativos não residem em ambientes empresariais tradicionais — eles são móveis ou trabalham em casa. A entrega de funções críticas de negócios, como CRM, ERP e tudo mais, deve permitir acesso fora da rede empresarial tradicional.

O Relatório de Proteção de Aplicativos do F5 Labs de 2018 revelou que a organização média do setor público usa 680 aplicativos, 32% dos quais são considerados de missão crítica.

Além desse tremendo crescimento em aplicativos, as organizações estão implantando esses aplicativos em novas arquiteturas e serviços. A pesquisa State of Application Services de 2019 indica que 14% das organizações pesquisadas tornaram os contêineres a abordagem padrão de isolamento da carga de trabalho de aplicativos e 87% dos entrevistados estão adotando uma arquitetura multinuvem. O próprio Escritório de Gestão e Orçamento (OMB) está defendendo uma "Estratégia Inteligente de Nuvem"¹ para migrar para uma rede de nuvem segura e protegida.

Organizações governamentais e comerciais não são as únicas que usam tecnologia para reduzir atritos, fornecer novos serviços e aumentar o valor. Criminosos cibernéticos, grupos militantes e agentes de ameaças de estados-nação também estão inovando suas capacidades de ataques cibernéticos em uma velocidade vertiginosa. À medida que melhoramos a proteção de nossas redes e infraestrutura, os ciberataques estão mudando sua mira para alvos mais fáceis.

Os alvos fáceis são usados para infiltrar ativos de alto valor que podem armazenar pessoas ou informações confidenciais. Uma pesquisa do F5 Labs mostra que 86% de todos os ciberataques têm como alvo aplicativos diretamente ou roubam identidades de usuários, geralmente por meio de phishing.²

Os invasores estão aprendendo que às vezes é mais fácil atacar indiretamente. Uma maneira é ir atrás de aplicativos menos importantes, como dispositivos de IoT, e aumentar o acesso deles. Foi o que aconteceu quando criminosos invadiram um cassino dos EUA por meio de um termômetro de aquário no lobby e o usaram como ponto de entrada no banco de dados de grandes apostadores.³ Da mesma forma, a devastadora violação da Target em 2013 começou como uma exploração do fornecedor de HVAC da Target e terminou com uma violação do sistema de ponto de venda e uma perda de 40 milhões de cartões de crédito.⁴

Se não forem gerenciados, componentes e serviços de código aberto e de terceiros também podem apresentar riscos. O Sonatype State of the Software Supply Chain 2018 observa que um em cada oito downloads de componentes de código aberto contém uma vulnerabilidade de segurança conhecida.⁵ Organizações, inclusive no setor público, aproveitam o código aberto porque ele acelera o desenvolvimento e a entrega. No entanto, essas mesmas organizações muitas vezes não incluem componentes de código aberto em verificações de segurança e processos de revisão. Esses componentes se tornam parte do portfólio de aplicativos e devem ser tratados com o mesmo escrutínio que o código personalizado. Isso inclui componentes tanto no lado do servidor (por exemplo, pacotes NPM, bibliotecas) quanto no lado do cliente.

Com os aplicativos agora desempenhando um papel mais crítico no cumprimento das metas de uma organização, o crescimento desses aplicativos está ultrapassando a capacidade da maioria das organizações de dimensionar suas operações. O modelo tradicional de ter segurança no perímetro não é escalável e tem eficácia limitada para prevenir ameaças. Quando um alvo fácil é comprometido, ativos de alto valor ficam em risco. Novas arquiteturas e modelos de implantação desafiam ainda mais as medidas de segurança tradicionais. Os aplicativos estão sendo preparados em locais dispersos e estão usando serviços de aplicativos multinuvem para melhorar o desempenho. Enquanto isso, a área de superfície de ameaça associada aos aplicativos está se expandindo exponencialmente.

O monitoramento contínuo próximo a aplicativos e alvos fáceis é importante para fornecer segurança e, ao mesmo tempo, manter o desempenho. A integração da segurança inteligente na nuvem pode funcionar com o aplicativo para mitigar ameaças rapidamente e proteger dados confidenciais. Pequenos tipos de dados podem ser enviados para a nuvem para identificar ameaças potenciais comparando os dados com milhões de artefatos armazenados na nuvem. Isso pode ser usado para determinar se um cliente é um bot ou um usuário real.

Um serviço de redução de fraudes pode trabalhar com um aplicativo para interagir com agentes mal-intencionados, obtendo mais tipos de dados e prevenindo fraudes em larga escala. O perfil completo da fraude pode ser entregue ao sistema de monitoramento contínuo da organização para tomar medidas, impedir a propagação do ataque, determinar a localização dos sistemas comprometidos e fornecer etapas para remover a ameaça das máquinas infectadas. Os analistas podem fornecer informações às operações para análise posterior.

Como se as coisas não fossem complexas o suficiente, as agências federais estão migrando para implantações multi-nuvem e SaaS para alavancar maior flexibilidade, obter maior disponibilidade, reduzir o bloqueio de fornecedores e, em alguns casos, aproveitar custos mais baixos. O dilema é: como eles podem fornecer uma experiência de aplicativo padronizada, segura e perfeita em arquiteturas híbridas, multinuvem e SaaS sem exceder sua alocação de orçamento?

As agências podem usar sua solução de perímetro em pontos de conexão de internet confiáveis para proteger a conectividade com ambientes SaaS e multi-nuvem. Isso pode causar problemas de desempenho, pois as agências têm pontos de conexão limitados. Os aplicativos públicos precisam passar por esses pontos por questões de segurança, o que gera latência. Os benefícios de ter aplicativos escaláveis e de alto desempenho são eliminados, pois o tráfego precisa ser "trombone" para segurança.

Soluções de perímetro também dependem de assinaturas estáticas. Se uma nova ameaça for desenvolvida e tiver sido perfilada dentro de um provedor de nuvem de segurança, as informações não serão retransmitidas ao sistema de perímetro para evitar o ataque. As atualizações de assinatura podem ocorrer dentro de um dia ou uma semana. Ativos de alto valor podem ser comprometidos quando a assinatura é finalmente desenvolvida e atualizada dentro do sistema de segurança de perímetro.

A padronização de serviços de aplicativos multi-nuvem e SaaS — as soluções implementadas para proteger, gerenciar e otimizar seus aplicativos — reduz a complexidade operacional que acompanha uma arquitetura multi-nuvem.

Por exemplo, é mais fácil gerenciar — e mais poderoso ter — um serviço que funciona em nível de aplicativo empresarial, como invocação de APIs baseada em código e sistemas orientados a eventos, do que um serviço específico de plataforma, como ter que usar um serviço de enfileiramento de mensagens específico do fornecedor. Habilitar um conjunto de recursos em todos os aplicativos reduz a sobrecarga operacional. Ao adotar uma plataforma padrão para o maior número possível de serviços de aplicativos, as organizações podem aproveitar mais automação e reutilizar mais código para realizar processos operacionais consistentes, previsíveis e repetíveis.

Em uma época em que muitas organizações nascidas na nuvem nem sequer têm um departamento de TI, as arquiteturas de TI tradicionais e os processos operacionais ficam visivelmente aquém das expectativas dos desenvolvedores de aplicativos e das equipes de DevOps. O desejo de lançar aplicativos mais rapidamente muitas vezes leva a ignorar as equipes tradicionais de rede e segurança, juntamente com os processos operacionais e de segurança associados. De fato, proteger o portfólio de aplicativos corporativos tem tanto a ver com pessoas e processos quanto com tecnologia.

Para gerenciar o desempenho e, mais importante, os riscos nessa expansão de várias nuvens, as organizações estão desesperadas por soluções. Onde quer que os aplicativos estejam, as soluções devem oferecer suporte à implantação de políticas consistentes, gerenciar ameaças, fornecer visibilidade e permitir o monitoramento da integridade e do desempenho dos aplicativos. Uma solução inadequada pode facilmente diminuir quaisquer benefícios de uma transformação digital se a inovação e a agilidade das equipes de desenvolvimento de aplicativos e DevOps forem prejudicadas.

Dado o crescente valor — e o perfil de risco — dos aplicativos, cada agência federal precisa desenvolver uma estratégia de aplicativo empresarial que aborde como os aplicativos no portfólio empresarial são criados/adquiridos, implantados, gerenciados e protegidos.

RESUMO:Aproveite esta oportunidade para criar uma estratégia de aplicativo empresarial que esteja alinhada à missão e aos objetivos da sua agência federal.

O objetivo da transformação digital é substituir processos manuais e difíceis de manejar por aplicativos eficientes e ricos em dados. Portanto, o objetivo geral de uma estratégia de aplicativo empresarial deve ser aprimorar, acelerar e proteger diretamente os recursos digitais da organização, no que se refere à entrega da missão. Quaisquer aplicativos ou serviços de aplicativos associados que sejam incongruentes com esse objetivo devem ser despriorizados. Aplicativos de alta prioridade devem receber recursos e segurança adicionais, enquanto ativos sem prioridade podem usar recursos compartilhados.

Esse alinhamento também significa levar em consideração o status quo, o que inclui analisar cuidadosamente a estratégia atual de dados corporativos, os requisitos de conformidade e o perfil geral de risco da organização.

Em muitos casos, as restrições impostas por essas diferentes fontes e o impacto na agilidade das equipes de desenvolvimento de aplicativos provavelmente não são bem compreendidos. Sua estratégia de aplicação empresarial deve esclarecer o equilíbrio que sua agência está disposta a atingir entre as forças frequentemente concorrentes de inovação, agilidade e risco.

RESUMO:Antes de começar a modernizar, você precisa criar um inventário completo de aplicativos.

Quando se trata de uma estratégia de aplicativo empresarial, a maioria das equipes não tem a sorte de começar do zero. Quase todos no setor de TI herdam uma arquitetura de tecnologia que é resultado de décadas de sistemas díspares combinados com sistemas legados forçados a continuar funcionando. Esse problema pode ser especialmente grave no governo federal dos EUA, em comparação ao setor comercial. Raramente é fácil migrar de forma limpa essas peças incongruentes de tecnologia para um estado de destino desejado. Portanto, mais descobertas e análises devem ser feitas.

Embora possa parecer muito simples, para proteger algo adequadamente, você deve primeiro saber que ele existe e, então, ser capaz de monitorar com precisão sua saúde. E, no entanto, com poucas exceções, a maioria das organizações não consegue relatar com segurança o número de aplicativos que tem em seu portfólio, muito menos se esses aplicativos são saudáveis e seguros. O Relatório de Proteção de Aplicativos de 2018 do F5 Labs descobriu que 62% dos líderes de segurança de TI têm pouca ou nenhuma confiança em conhecer todos os aplicativos em sua organização.

Um inventário de aplicativos é o elemento mais fundamental de qualquer estratégia de aplicativo. Este é um catálogo de todos os aplicativos, sejam entregues internamente, lateralmente (por exemplo, para outras entidades governamentais) ou externamente (por exemplo, para o público), que inclui:

• Uma descrição da função que o aplicativo ou serviço digital executa
• A origem do aplicativo (por exemplo, software personalizado, empacotado ou serviço de terceiros)
• Os principais elementos de dados aos quais o aplicativo requer acesso ou manipula
• Outros serviços com os quais o aplicativo está se comunicando
• Componentes de código aberto e outros componentes de terceiros que fazem parte do aplicativo
• O(s) indivíduo(s) ou grupo(s) responsável(eis) pela aplicação

Criar o inventário de aplicativos pela primeira vez costuma ser um trabalho trabalhoso e demorado. Uma abordagem para detectar facilmente aplicativos desonestos é tornar o inventário de aplicativos uma lista de permissões; aplicativos que não estão na lista de permissões simplesmente não têm acesso aos recursos corporativos (por exemplo, rede). Para rastrear aplicativos fora da sua organização, uma ferramenta como um Cloud Access Security Broker (CASB) pode ser muito útil. Os CASBs ficam entre seus usuários e a Internet, monitorando e relatando todas as atividades do aplicativo. Eles não só podem dizer quais aplicativos seus funcionários mais usam (e como eles os acessam), mas também dar insights sobre o uso de aplicativos de TI paralelos.

Ao empregar um modelo de arquitetura DevOps e integrar seus aplicativos a ele, você pode simplificar o processo de inventário daqui para frente. Quando a prioridade de um aplicativo é determinada e ele é colocado em seu ambiente multi-nuvem ou SaaS, os desenvolvedores podem empacotar a implantação usando ferramentas de código aberto (por exemplo, Ansible, GitHub). A implantação é então gerenciada por essas ferramentas, que incluem serviços de segurança, gerenciamento de patches e código. As informações de inventário são centralizadas e podem ser fornecidas rapidamente. Portanto, o aplicativo pode existir em um ambiente de nuvem ou SaaS, mas ainda ser identificado pela organização.

Cada momento gasto garantindo a precisão do inventário do seu aplicativo tem um impacto positivo direto na sua capacidade de definir rapidamente os limites do sistema FedRAMP. Ele também permite que você tenha uma maneira muito mais precisa de encontrar de forma rápida e precisa a parte responsável pela infraestrutura de um aplicativo — ou mesmo um componente individual de um aplicativo — quando solicitado pelo órgão certificador.

Por fim, seus esforços no FedRAMP exigem que este seja um exercício contínuo, possivelmente mais de uma vez por ano. É um processo constante que envolve ficar de olho em quais aplicativos e repositórios de dados estão em jogo, monitorar o que os usuários precisam fazer e avaliar como seus ambientes de desenvolvimento estão evoluindo.

RESUMO:Dê uma olhada no nível de risco individual de cada aplicativo e combine isso com todas as considerações de conformidade aplicáveis ao determinar as medidas de segurança.

O risco cibernético é uma preocupação significativa e crescente para os líderes de TI do governo dos EUA. Para combatê-lo, você deve começar avaliando o risco cibernético de cada um dos seus aplicativos.

Cada aplicativo em seu inventário deve ser examinado quanto a quatro tipos principais de risco cibernético:

1. Vazamento de informações internas confidenciais (por exemplo, segredos militares)
2. Vazamento de informações confidenciais de clientes/usuários (por exemplo, registros pessoais, histórico fiscal)
3. Adulteração de dados ou aplicativos
4. Negação de serviço para dados ou aplicativos

Com o risco cibernético, a importância de um serviço digital deve ser medida considerando o impacto financeiro ou de reputação desse serviço causado pelo ataque cibernético, de acordo com as categorias acima. Diferentes organizações definirão diferentes níveis de perda potencial para determinados serviços em relação a outros, portanto, cada organização deve fazer suas próprias estimativas com base em sua missão definida. A FISMA, por exemplo, pede que você determine o risco em nível de agência para a missão ou caso de negócios. Mas geralmente é prático também examinar os riscos em nível de aplicação para se preparar para quando os padrões de conformidade da sua missão inevitavelmente se aprofundarem.

Às vezes, incluídos nos cálculos de risco organizacional estão os riscos de não conformidade com regras, diretrizes e contratos aplicáveis. As entidades federais estão repletas de regulamentações e padrões, e todos eles devem ser considerados ao avaliar aplicativos e serviços digitais. Estabelecer um modelo vinculado à aplicação para avaliar o risco cibernético ajuda a facilitar o processo de satisfação dos requisitos do CDM/ConMon para conformidade com o FedRAMP, permitindo que você restrinja os limites para grupos de serviços gerenciáveis e adequadamente granulares.

Usar serviços SaaS pode ajudar a reduzir preocupações com conformidade organizacional. Os riscos da aplicação e as preocupações com a conformidade são de responsabilidade do provedor de SaaS. Isso ajuda uma organização a se concentrar em aplicativos personalizados.

Considere integrar serviços de segurança em nuvem ao aplicativo para proteger contas de usuários, dados financeiros e informações pessoais. Os serviços de segurança em nuvem têm milhões de pontos de dados que podem ser usados pelo aplicativo para determinar se um cliente é malicioso ou é um usuário real. Como os pontos de dados são atualizados continuamente, novas ameaças podem ser identificadas. As regras podem ser aplicadas ao aplicativo em tempo real e podem funcionar com uma estratégia de segurança empresarial existente.

RESUMO:Faça um balanço de quais serviços de aplicativos — as soluções que executam seus aplicativos nos bastidores — são necessários para sua organização.

Os aplicativos raramente são independentes, portanto, junto com o inventário de aplicativos, os serviços de aplicativos que executam seus aplicativos devem ser gerenciados e rastreados. Os serviços de aplicativos são soluções empacotadas para criadores de aplicativos que melhoram a velocidade, a mobilidade, a segurança e a operabilidade de um aplicativo. Os serviços de aplicativos oferecem vários benefícios importantes à carga de trabalho do aplicativo:

• Velocidade: O desempenho de uma carga de trabalho de aplicativo e a capacidade de entrega rápida.
• Mobilidade: A movimentação fácil de uma carga de trabalho de aplicativo de um site de hospedagem físico ou lógico para outro.
• Segurança:A proteção da carga de trabalho do aplicativo e dos dados associados a ele.
• Operabilidade: A garantia de que uma carga de trabalho de aplicativo é fácil de implantar, fácil de manter em execução e fácil de solucionar problemas em caso de falha.

Uma boa maneira de localizar serviços de aplicativos dependentes é examinar a seção Controles do Plano de Segurança do Sistema FISMA ou FedRAMP para seu ambiente. Isso geralmente indicará a presença de serviços de aplicativos focados em segurança e outros serviços que dependem deles. 

Embora todos os aplicativos possam se beneficiar dos serviços de aplicativo, nem todos os aplicativos exigem os mesmos serviços de aplicativo.

Os serviços de aplicação comuns incluem:

• Balanceamento de carga
• DNS delivery
• Global Server Load Balancing
• Firewalls de aplicativos da Web
• Prevenção/proteção contra DDoS
• Monitoramento e análise de aplicativos
• Gerenciamento de identidade e acesso
• Autenticação de aplicativo
• GATEWAYS DE API
• Controle de entrada e saída de contêineres
• Criptografia SSL

Todos os serviços de aplicação envolvem algum nível de custo, tanto direto (em termos do serviço em si) quanto indireto (em termos de manutenção operacional). Aplicativos de baixa prioridade podem usar recursos compartilhados para ajudar a reduzir custos. Recursos compartilhados fornecem segurança e mantêm o desempenho. Ativos de alto valor exigem mais recursos, pois são muito importantes para a produtividade da organização.

Vale a pena notar que muitos serviços de aplicativos são projetados especificamente para oferecer suporte a categorias restritas de aplicativos. Por exemplo, apenas aplicativos projetados para atender aplicativos de IoT precisam de um gateway de IoT. Os aplicativos entregues em uma arquitetura tradicional não exigem serviços de aplicativo direcionados a ambientes em contêineres, portanto, os serviços de controle de entrada e de aplicativo de malha de serviço podem não ser aplicáveis.

Em alguns casos, pode ser necessário adquirir novos serviços de aplicativos para garantir a conformidade ou reduzir riscos. Embora possa atender tecnicamente aos padrões de conformidade, você deve sempre resistir à tentação de selecionar os controles básicos mínimos e insistir em selecionar serviços de aplicativos que melhorem sua capacidade de lidar com riscos cibernéticos.

RESUMO:Agrupe logicamente os aplicativos com base em seu tipo, prioridade e requisitos.

Depois que o inventário de aplicativos estiver concluído, a próxima etapa é agrupar seus aplicativos em categorias lógicas com base nas características que precisam de diferentes abordagens de gerenciamento e serviços de aplicativos (por exemplo, acesso a dados confidenciais, exposição a mais ameaças).

Uma vez categorizada, a política de aplicativo empresarial deve especificar os perfis de desempenho, segurança e conformidade que devem ser aplicados a diferentes tipos de aplicativo, com base na criticidade e na classificação empresarial do próprio aplicativo.

Recomendamos começar com quatro níveis básicos.

Como as ameaças enfrentadas pelos aplicativos variam de acordo com o ambiente em que estão hospedados, essa categorização pode ser expandida para diferenciar com base no ambiente de implantação (por exemplo, local, nuvem pública).

Priorizar seus objetivos dessa forma também ajuda a pré-classificar facilmente os aplicativos que você implanta nos níveis FISMA/FedRAMP adequados. Gastar um pouco de tempo aqui desenvolvendo uma estrutura para seus objetivos de missão permite que você gaste muito menos tempo conversando com um auditor mais tarde.

Nenhuma organização tem recursos suficientes para fazer tudo o que quer em um prazo aceitável. Ao priorizar seus aplicativos, você pode adotar uma abordagem de triagem para quais aplicativos precisam ser reforçados com serviços de aplicativo, quais aplicativos devem ser modernizados ou substituídos e quais aplicativos não valem o esforço. Para aplicativos na última categoria, certifique-se de que eles estejam segmentados em sua rede e evite o cenário em que um termostato IoT inócuo leva a uma violação total da rede. Esse processo também inclui a análise de novos aplicativos que podem desbloquear novos fluxos de valor e, portanto, devem ser desenvolvidos internamente ou obtidos de terceiros.

RESUMO:Desenvolver parâmetros de implantação e consumo.

Uma parte fundamental de qualquer estratégia de TI sempre foi a implantação e o gerenciamento operacional, e uma estratégia moderna de aplicativos empresariais acrescenta algumas novidades (por exemplo, a importância da experiência do usuário final). Isso inclui analisar:

• Quais arquiteturas de implantação são suportadas (por exemplo, nuvem híbrida, multi-nuvem)
• Opções de modelo de implantação para cada uma das categorias de aplicativos
• Quais nuvens públicas podem servir como pontos de acesso para aplicativos
• Até que ponto os serviços nativos da nuvem pública podem ser aproveitados em comparação com os de terceiros

Diferentes aplicações têm necessidades diferentes em termos de modelos de implantação e consumo. Durante esta fase de desenvolvimento da sua estratégia de aplicação, você deve se esforçar para obter uma compreensão clara das diferentes opções de implantação, cada uma das quais pode ter diferentes modelos de consumo, impactos de custo e perfis de conformidade/certificação.

Ao selecionar modelos de implantação, também é prudente fazer um inventário das habilidades e talentos disponíveis para levar em consideração na decisão. Por exemplo, escolher implantar na AWS quando você não tem talentos internos suficientes para gerenciá-la e não tem acesso a habilidades baseadas em contrato pode atrasá-lo e introduzir riscos.

Nunca se esqueça de que seus mecanismos de implantação e gerenciamento podem, eles próprios, estar sujeitos a uma autorização, seja sob FISMA ou FedRAMP ATO/P-ATO, qualquer que seja o padrão usado pela sua agência para sua missão.

RESUMO:Estabeleça linhas claras de responsabilidade para cada elemento da sua estratégia de aplicativos corporativos.

Além de articular seus objetivos e prioridades, a estratégia de aplicação empresarial também deve incluir elementos sobre funções e responsabilidades.

Você deve saber:

• Quem tem direitos de decisão sobre a otimização e proteção do portfólio de aplicativos (por exemplo, seleção de tecnologia, disposição de aplicativos, gerenciamento de acesso do usuário)?
• Quem tem acesso de usuário privilegiado a cada aplicativo?
• Quem é responsável pela implantação, operações e manutenção de cada aplicativo nos vários ambientes?
• Quem é responsável pela conformidade com a política de aplicativos corporativos?
• Quem vai monitorar a conformidade com as metas da estratégia de aplicativos corporativos? E a quem eles reportarão as métricas?
• Quem vai monitorar os fornecedores — incluindo provedores de componentes/serviços de código aberto e de terceiros — quanto à conformidade?
• Quem vai garantir que todos os aplicativos e serviços de aplicativos sejam contabilizados (conforme os aplicativos e serviços continuam mudando e sendo adicionados/removidos)?

Essas responsabilidades podem recair sobre um indivíduo, comitês multidepartamentais ou até mesmo sobre departamentos inteiros. De qualquer forma, elas devem ser explicadas claramente. Na verdade, eles podem precisar de uma definição ainda maior do que a que seu regime de conformidade exige que você os defina.

Organizações mais avançadas adotarão processos operacionais e automação para atribuir essas responsabilidades no início do processo de desenvolvimento, no momento do início da aplicação. Em um mundo de múltiplas nuvens, com centenas ou até milhares de aplicativos dando suporte a funções críticas, a estratégia de aplicativos e as políticas correspondentes devem estabelecer linhas claras de responsabilidade.

Uma vez desenvolvida a estratégia de aplicação empresarial, para que ela cumpra seu propósito, ela deve ser aplicada. Os mecanismos de execução devem incluir proteções “rígidas” incorporadas à automação de processos (por exemplo, controle de acesso do usuário, varreduras de vulnerabilidade de código no check-in), bem como medidas “suaves”, como treinamento de funcionários e capacitação ou conscientização.

Sua política de controle de acesso deve dar suporte às funções e responsabilidades operacionais definidas na estratégia de aplicativos corporativos e se estender a todos os aplicativos, tanto no local quanto na nuvem. Atenção especial deve ser dada ao acesso de usuários privilegiados devido ao risco que eles representam para o aplicativo, incluindo serem alvos de APTs sofisticados devido à sua permissão administrativa ou root para o aplicativo.

As medidas especiais recomendadas para usuários privilegiados incluem:

• Usuários privilegiados devem sempre estar em grupos separados. Eles devem ser definidos como “alto risco” dentro de sua solução de controle de acesso que exigem controles de segurança que você pode não escolher implementar para todos os usuários ou todos os níveis de classificação de aplicativos. 
• Vários fatores de autenticação remota devem ser necessários. Se tentativas de acesso forem feitas com credenciais válidas que não atendem ao segundo requisito de autenticação (no caso em que os invasores coletaram credenciais válidas de uma violação em que credenciais foram compartilhadas) ou de um local fisicamente impossível com base no último login válido (como um login bem-sucedido nos EUA duas horas antes do mesmo usuário tentar fazer login no leste europeu), a conta deverá ser bloqueada até que uma nova análise de segurança seja concluída.
• O acesso administrativo deve ser autorizado apenas para pessoal apropriado e treinado que necessite desse nível de acesso regularmente para executar seu trabalho. Qualquer acesso temporário concedido para emergências ou projetos especiais deve estar em um grupo de usuários diferente, configurado com monitoramento de uso automatizado que lembrará os administradores do sistema caso eles se esqueçam de remover o acesso. A revisão da adequação do acesso deve ser realizada regularmente e concluída independentemente da equipe responsável pelo aplicativo ou pela concessão de acesso ao aplicativo, para evitar quaisquer conflitos de interesse. Se um usuário privilegiado não acessa uma conta por um longo período, deve-se questionar se ele realmente precisa desse acesso.
• A contabilização adequada de todos os acessos de usuários privilegiados aos aplicativos deve ser registrada. Isso inclui quaisquer alterações feitas pela conta do usuário.   

Obter esse nível de visibilidade e automação em torno do controle de acesso na nuvem pode ser desafiador e caro, pois esses recursos geralmente não estão disponíveis nativamente. No entanto, isso é possível com licenciamento de terceiros e, dada a importância, é um investimento que vale a pena fazer.

Com o crescimento constante de aplicativos e a abundância de dados disponíveis na mídia que os invasores usam para descobrir quais aplicativos atacar e quem tem acesso a eles, o treinamento de conscientização sobre segurança nunca foi tão importante.

Como o spear phishing é o modis operandi dos adversários, o treinamento de phishing deve ser um grande foco. O Relatório de Phishing e Fraude de 2018 do F5 Labs descobriu que treinar funcionários mais de 10 vezes pode reduzir o sucesso do phishing de 33% para 13%. No entanto, raramente o treinamento de conscientização sobre segurança é realizado de forma adequada e com o material certo. Serviços de treinamento de conscientização prontos, projetados para verificar caixas de conformidade, correm o risco de os funcionários não entenderem seu papel na segurança da informação e não terem um senso pessoal de dever para com ela. Se o objetivo é reduzir o risco de uma violação, treinamento frequente — personalizado para sua organização — é o caminho a seguir.

Não há tempo de inatividade para os invasores e, portanto, os funcionários devem permanecer sempre vigilantes. Uma cultura contínua de curiosidade deve ser a norma para todas as organizações, especialmente no espaço federal ou em quaisquer empresas que forneçam produtos e serviços ao governo federal. Os funcionários devem estar cientes de que são um alvo devido ao seu acesso a aplicativos e dados. Eles também devem estar cientes de como esse acesso ou dados são usados por estados-nação adversários ou vendidos por criminosos cibernéticos com fins lucrativos (que depois são comprados por adversários).

Para garantir o sucesso em suas transformações digitais, todas as organizações devem adotar uma estratégia de aplicativos empresariais e uma política correspondente, além de treinar os funcionários sobre elas. No espaço federal, com sua grande mistura de aplicativos legados, híbridos e modernos, isso é especialmente crítico. Seu sucesso em fornecer um serviço digital confiável, seguro e autorizado exige isso.

Os aplicativos são o coração da transformação digital de qualquer organização e, com a rápida mudança na maneira como o software é desenvolvido e implantado, eles são a maior fonte de valor e a maior fonte de vulnerabilidade de uma organização. Os componentes de estratégia e política de aplicação descritos aqui fornecem as bases essenciais para garantir as aspirações digitais de qualquer organização. Com o perfil de risco do seu portfólio de aplicativos aumentando a cada dia, as organizações precisam agir rapidamente para formalizar sua estratégia e política.

¹ O Escritório de Gestão e Orçamento Estratégia Inteligente em Nuvem

² Laboratórios F5: Lições aprendidas com uma década de violações de dados

³ Criminosos hackeiam aquário para roubar dados de cassino , Forbes

⁴ A violação do Target ocorreu devido a um erro básico de segmentação de rede , ComputerWorld

⁵ Estado da Cadeia de Suprimentos de Software 2018 , Sonatype