LEAN SECURITY  A  segurança  digital  também  pode  

ser  Lean  e  Agile  

Diego  Mariano  

Heart  Bleed  A9ack  

Mercado  Brasileiro  –  Página  Falsa

Mercado  Brasileiro  –  Vírus

Como  é  um  serviço  digital  100%  seguro?

Mercado  Financeiro  –  Auditoria

Recapitulando:  o  dia  a  dia

•       Urgência  de  se  evitar  ataques  que  podem  ocorrer  a  qualquer  momento.  

•       Surgimento  de  novas  vulnerabilidades.  

•       Clientes  com  computadores  infectados  por  vírus  ou  páginas  falsas.  

•       Ninguém  leva  "não"  como  resposta,  principalmente  o  auditor.  

•       Às  vezes,  são  feitas  promessas  que  não  podem  ser  cumpridas.  

•       A  área  de  negócios  roKneiramente  está  insaKsfeita.  

Como  Resolver?  Lean  Security!

Pensamento  Sistêmico  

Feedback  Loop  

Experimentação  ConPnua  

Pensamento  Sistêmico

•       Work  In  Progress  –  WIP  —   Pesquisa  de  novos  produtos  de  segurança.  —   Prevenção  a  ataques.  —   Engenharia  reversa  de  vírus.  —   Projetos  prevenKvos  de  elevação  do  nível  de  restrição.  —   Revisão  de  projetos  de  negócio.  —   Preparação  e  conformidade  com  auditorias.  

•       Controle  visual  e  psicológico  —   Os  problemas  devem  aparecer  (Andon).  

•       Alcançar  um  profundo  entendimento  do  ambiente  e  seus  processos.  

•       Melhoria  conBnua  na  vazão  do  fluxo  de  trabalho  

Pensamento  Sistêmico

•       Ferramentas  e  técnicas  —   Kanban.  —   Planejamento  semanal  ou  quinzenal.  —   Revisão  e  retrospecKva.  

•       Simplicidade  —   A  arte  de  maximizar  a  quanKdade  de  trabalho  que  não  precisou  ser  feito.  

   

Pensamento  Sistêmico

Feedback  Loop

•       Responder  às  necessidades  de  todos  os  clientes,  e  não  dos  atacantes.  

•       Ciclo  Construir-­‐Medir-­‐Aprender  —   Indicadores  para  mensurar  o  valor  das  aKvidades.  

Feedback  Loop

•       Amplificar  e  diminuir  o  tempo  dos  feedback  loops.  

—   Brakeman  no  processo  de  integração  conPnua.  —   Inspeção  de  código,  TDD.  —   Poka  Yoke.  

Experimentação  ConOnua

•     Sim,  há  bugs,  e  eles  serão  explorados.  

•     Experimentar  e  aprender  com  a  falha  o  mais  rápido  possível.  

•     Cultura  de  viver  na  zona  de  perigo  e  sobreviver  aos  imprevistos.  

Experimentação  ConOnua

ü   MVB  -­‐  Minimum  Viable  Bureaucracy  

ü   Arquitetura  EvoluKva  

ü   MVP  Minimum  Viable  Product  

O  pré-­‐requisito  é  a  repeSção

Pensamento  Sistêmico  

Feedback  Loop  

Experimentação  ConPnua  

Processos    –    Tecnologia    –    Pessoas  

Diego  Mariano  -­‐  @diegomcampos  

Referências:  •  Livro  The  Lean  Startup  •  Livro  The  Phoenix  Project  •  Scrum  Framework  •  Manifesto  Ágil  

 

LEAN SECURITY  A  segurança  digital  também  pode  

ser  Lean  e  Agile  

Muito  Obrigado!