Trabalhando por alguns anos em consultoria e serviços profissionais, tive a oportunidade de atender clientes nos mais diversos estágios de jornada de migração ou modernização. Essa experiência me proporcionou uma visão da diversidade de skills que profissionais de segurança têm nas empresas, em diversas indústrias.
Eu iniciei minha carreira em um tempo que segurança era um braço de infraestrutura, e excelentes engenheiros de segurança eram especialistas em firewalls e ferramentas de detecção baseada em assinaturas, como IPS ou Antivírus, além de conhecer em detalhes do TCP/IP.
Acontece que cada vez mais as organizações estão modernizando suas aplicações, ou estão a todo o vapor em processos de transformação digital. Aplicações que estavam em servidores físicos migraram para máquinas virtuais, containers, e possivelmente foram reescritas ou “modernizadas” para rodar em plataformas Serverless. Isso é importante, pois permite que as empresas façam dimensionamento não mais baseados em capacidades d
e máquina (processamento, armazenamento e memória), mas por capacidade elástica para atender números de requisição distribuídas.
Infraestruturas não são mais aprovisionadas ligando-se cabos e configurando IPs, mas via código, em um arquivo texto (template) contendo instruções de como criar ou alterar recursos na nuvem. Uma stack inteira pode subir via um único arquivo JSON.
Isso me fez observar um skill fundamental que futuros especialistas em segurança precisarão ter para se manterem relevantes: coding skills. Em um futuro (que já é atual) onde toda uma infraestrutura ou workload serão criados via código, se tornará fundamental que o profissional de segurança entenda o que, e como está escrito. Além disso, comunicações entre serviços na nuvem e com a nuvem, mesmo que iniciados via console, acontecem nos bastidores via uma requisição de API.
Muitos dos profissionais de segurança migraram sua expertise vindo de áreas diferentes, como infraestrutura e aplicações. Para profissionais que vieram do mundo de desenvolvimento, entender o que está sendo configurado em um template de IaC (Infrastructure as Code) é mais natural.
Mas a maior fricção que percebo, talvez seja dos especialistas que vieram de base forte do mundo IP ou infraestrutura clássica. Hoje, aplicações funcionam em containers ou serviços Serverless. Ferramentas de revisão de código IaC como checkov e cfn, somam-se aos testes de infraestrutura e aplicação tradicionais. A contenção de um workload feita de forma manual após identificação de um possível incidente, pode ser feita em segundos, via automação e código. Perceba quanta coisa mudou de alguns anos para cá, na vida de quem tem que proteger dados e sistemas.
Por outro lado, percebo que este skill ainda não é totalmente difundido entre especialistas em segurança, mesmo os mais experientes.
Algumas linhas de código podem expor um workload inteiro. Para o especialista em segurança se manter relevante, ler e entender o que outros times estão construindo via código não será um diferencial, será o fundamental, e permitirá que guardrails e controles de segurança inteiros sejam implementados em segundos ou minutos, via código.
Se eu pudesse recomendar um hard skill a priorizar para quem está na trilha técnica, e busca se posicionar para um futuro que já está acontecendo, seria: aprenda código.
Postar um comentário