Menu Mobile
Voltar ao início do blog

DevSecOps na saúde: desafios e lições com Henry Jiang da Ensora Health

Em entrevista ao Help Net Security, Henry Jiang, CISO da Ensora Health, revela os desafios de implementar uma estratégia DevSecOps eficaz em organizações de saúde, destacando a tensão entre velocidade de entrega e segurança.Jiang destaca que, em setores regulados como o de saúde, proteger somente o que a lei exige (como HIPAA) não é suficiente — é preciso ir além das normas para reduzir riscos reais. Outro desafio é alinhar ciclos de planejamento: "security objectives should be mapped to […] sprint cycles" e "PI planning cycles", integrando metas de segurança tanto em sprints quanto em ciclos maiores 

Quanto às métricas, ele valoriza os KRIs (Key Risk Indicators), como a "say/do ratio" (relação entre tarefas de segurança planejadas e realizadas), tempo de remediação e quantidade de vulnerabilidades críticas em produção. Esse acompanhamento contínuo reforça a responsabilidade e visibilidade dos times.

A automação surge como pilar central. Jiang destaca que ferramentas de análise de código (com suporte de IA) evitam erros manuais no pipeline CI/CD, identificando falhas como as do OWASP Top 10 antes da produção. Em resposta a incidentes, ações automatizadas — como isolamento de sistemas comprometidos — reduzem o tempo de contenção 

Outro ponto crítico é o tool sprawl. Ele recomenda consolidar ferramentas que atendam múltiplas funções — análise IaC, postura na nuvem, escaneamento de aplicações — para evitar duplicação, reduzir complexidade e facilitar adoção 

Por fim, Jiang ressalta o próximo desafio: a falta de padrões federais claros além da HIPAA. Essa lacuna dificulta padronizar controles modernos, como obrigatoriedade de MFA ou criptografia, tornando importante para reguladores atualizarem diretrizes para acompanhar a evolução das ameaças 

 

Dica de prevenção

  • Mapeie objetivos de segurança junto aos ciclos de desenvolvimento (sprints e PI).

  • Use KPIs como "say/do ratio", tempo de remediação e vulnerabilidades em produção.

  • Aposte em automação: análise de código e resposta automática a incidentes.

  • Centralize seu toolchain: prefira ferramentas integradas em vez de soluções pontuais.


A experiência de Henry Jiang mostra que DevSecOps na saúde exige mais que integração técnica — requer cultura, métricas bem definidas, automação inteligente e ferramentas adequadas. A LC SEC pode ajudar sua empresa a adotar essas práticas, garantindo segurança efetiva e compliance robusto. Conheça nossos serviços! Visite: lcsec.io

Compartilhe nas redes sociais:

Você cuida da sua empresa, a LC Sec cuida da sua cibersegurança

conheça a lc sec

Conteúdos relacionados

03 de Junho de 2025

Como reduzir o atrito entre times de desenvolvimento e segurança
29 de Julho de 2025

Consultoria de segurança da informação: como funciona e quando sua empresa deve contratar
29 de Julho de 2025

Como escolher a melhor empresa de cibersegurança para proteger seus dados