A jornada de maturidade em segurança frequentemente esbarra em um dilema comum: o uso de frameworks genéricos para gerir ambientes altamente customizados e dinâmicos. Recentemente, a equipe de Segurança e Compliance da GitLab identificou que as estruturas tradicionais não entregavam a granularidade necessária para sua arquitetura multi-produto em nuvem. A solução adotada foi desenhada internamente, um movimento estratégico que, para empresas brasileiras que buscam escalar operações sem perder o controle operacional, merece uma reflexão profunda.
O desafio das frameworks de mercado
Ao evoluir seus requisitos, a equipe migrou para o NIST SP 800-53. Embora robusto, com mais de 1.000 controles, o NIST falhou em um ponto crítico: falta de alinhamento com a realidade operacional da GitLab. Implementar controles "por implementação" gera um efeito colateral perigoso: o aumento do overhead operacional e a criação de atalhos pelos times para contornar exigências irrelevantes ou restritivas demais. Mais do que isso, a falta de granularidade em controles como o AC-2 (Account Management) impedia que a organização tratasse riscos e responsabilidades de forma segregada entre as diferentes camadas de infraestrutura.
Estruturando o GitLab Control Framework (GCF)
Para resolver esse hiato, a GitLab desenvolveu o GCF utilizando uma abordagem em cinco etapas focada em outcome:
- Análise de Necessidades: Mapeamento de exigências de auditorias externas (SOC 2, ISO 27001, PCI DSS, FedRAMP) e necessidades internas.
- Aprendizado com o Mercado: Análise comparativa entre NIST CSF, SCF e CCF da Adobe/Cisco para garantir a cobertura de domínios críticos.
- Criação de Domínios Customizados: Foram definidos 18 domínios de controle (como Artifact Management, AI Management e Software Development Lifecycle), focados no contexto da operação real da plataforma.
- Hierarquia e Contexto: A arquitetura do framework foi desenhada para separar o que é mandatório a nível organizacional de como cada produto (GitLab.com, Dedicated, etc.) implementa esses requisitos, conforme ilustrado abaixo:
Impacto prático e resultados
Operacionalizar o compliance não significa apenas ter um checklist preenchido. Com o GCF, a equipe conseguiu transformar a gestão de evidências através de metadados robustos — definindo claramente o dono do controle, a frequência, o nível de automação e o ativo envolvido.
Os resultados são concretos para quem lida com operações críticas:
- Eficiência de Audit: Consolidação de 4 listas de requisição de auditoria em apenas uma.
- Redução de carga operativa: Queda superior a 50% na quantidade de controles gerenciados individualmente, mantendo a conformidade com mais de 8 normas simultaneamente.
- Visibilidade: Capacidade de filtrar quais controles são manuais vs. automatizados, permitindo priorizar investimentos em engenharia de segurança.
Para o gestor de TI ou Líder de plataforma no Brasil, a lição é clara: não force o seu ambiente para caber em um framework rígido. Se o seu objetivo é escalabilidade e redução real de riscos, construir sua própria estrutura focada no seu stack tecnológico é um investimento de alta rentabilidade.
Artigo originalmente publicado por Davoud Tu em GitLab.
