A preocupação com a segurança de uma aplicação deve estar presente desde o início de seu desenvolvimento a fim de evitar o retrabalho dos desenvolvedores ou, no pior cenário, o lançamento de aplicações com falhas de segurança, que podem aumentar riscos para usuários de produtos digitais.
Essas falhas de segurança, por sua vez, podem levar as marcas “donas” dos produtos digitais a enfrentarem problemas jurídicos em decorrência do vazamento de dados ou prejuízos devido a compras e movimentações financeiras fruto de crimes digitais.
A aceleração na transformação digital, forçada muito em parte pela pandemia que enfrentamos, o foco no time-to-market como primeira prioridade, o aumento crescente de ataques de hackers a empresas e órgãos do governo com o consequente sequestro e vazamento de dados é um dos gatilhos para essa mudança cultural.
É importante lembrar que novas ameaças aparecem a todo o momento e ao inserir a segurança como parte do processo de concepção de uma solução torna mais fácil a prevenção de eventuais falhas conhecidas e providenciar correções mais rapidamente, reduzindo o tempo para exploração dessas brechas. São ganhos que são transparentes para usuários finais, mas protegem soluções dos tão temidos vazamentos de dados.
Grandes vazamentos de dados recentes como os do LinkedIn, Facebook e Marriot International foram alvos da imprensa e levantam preocupações constantes: “O que é feito com as informações pessoais que fornecemos em um cadastro de redes sociais, lojas de varejo, ou até mesmo em um simples pedido de delivery de comida?” e “Quão seguro é fornecer esse tipo de informação por vias digitais?”.
Abordar técnicas e estratégias de segurança desde o início do desenvolvimento não é um conceito novo e empresas dos mais diversos portes vem adotando uma estratégia de "shift-left", trazendo as preocupações sobre segurança desde os primeiros passos.
Essa metodologia se mesclou com a adoção de DevOps no processo de desenvolvimento de software e foi denominada DevSecOps. O DevSecOps, adiciona a necessidade de pensar na segurança da aplicação e da infraestrutura de TI no DevOps, que propõe maior integração entre as equipes de desenvolvimento e de operadores de software, com o objetivo de melhorar o tempo de entrega de uma aplicação ou novas funcionalidades em um software. Mas, para isso, é preciso mudar processos e a cultura imediatista das empresas.
Lembre-se que o seu software representa no ambiente virtual o mesmo que a sede da sua empresa representa no ambiente físico, logo é preciso incorporar conceitos análogos de segurança no ambiente digital. Em um cenário simples, podemos exemplificar da seguinte forma:
| Ambiente Físico | Ambiente Digital |
|---|---|
| Cercas eletrificadas e grades | Utilização de firewalls e bom uso da DMZ (demilitarized zone) |
| Estranhos não podem ingressar no prédio | Módulo de gestão de identidade e autenticação (IAM) |
| Entrada de fornecedores e clientes são registrados pelo crachá e câmeras | Logs de auditoria e rastreamento de operações |
| Funcionários têm acesso às dependências de acordo com sua função | Autenticação baseada em políticas por funções (RBAC) |
Para que tudo isso funcione é necessário o engajamento da empresa inteira. Todos precisam estar alinhados para que a segurança faça parte do dia a dia. As empresas devem oferecer aos seus clientes no ambiente digital níveis de segurança equivalentes ou maiores dos que oferecem no ambiente físico. Os gestores precisam lembrar que: assim como já acontece no ambiente físico, qualquer dano gerado a um cliente, como o vazamento de dados pessoais também é de sua responsabilidade.
A gestão de informações pessoais escalou os patamares das altas cúpulas de governos e organizações pelo mundo todo. Os governos que compõem a União Europeia se uniram em um esforço para atualizar o DPD (Data Protection Directive) de 1995, considerando novas tecnologias e preocupações, resultando na criação do GDPR (General Data Protection Regulation) em 2018, fornecendo um modo mais fácil dos cidadãos entenderem como seus dados são utilizados por empresas e órgãos públicos, bem como instruções de como se defender se houver mau uso desses dados.
O GDPR cruzou fronteiras internacionais, influenciando desde startups a grandes corporações, que foram obrigadas a adequar seus processos de tratamento de informações pessoais e levantou um grande precedente para reflexão sobre o que tem sido feito com essa quantidade imensa de dados que trafega diariamente pelos sistemas digitais existentes - o cidadão é o dono de suas informações pessoais e tem o direito de decidir o que é feito com elas.
No Brasil também há um exemplo de extrema importância para a segurança de dados pessoais. A administração de riscos e falhas, normas de governança, a adoção de medidas preventivas de segurança, bem como a replicação de boas práticas e certificações existentes nos mercado são determinadas pela Lei nº 13.709, de 2018, conhecida como a Lei Geral de Proteção de Dados Pessoais (LGPD).
O vazamento de dados pessoais de terceiros é um crime previsto na lei nº 12.737, de 30 de novembro de 2012, que dispõe sobre a tipificação criminal de delitos informáticos, com penas que podem variar de três meses a três anos de prisão. Mas isso não tem impedido que os ataques e vazamentos cresçam a cada ano.
Soluções como encriptação, aplicação da gestão da identidade e Single Sign-On (SSO) não chamam atenção nas aplicações, assim como uma boa fundação e vergalhões de aço para tornar um edifício mais seguro, não chamam a atenção de compradores, mas suas aplicações precisam ser concebidas desde o início do projeto de uma solução e estão presentes, por baixo da superfície, com o objetivo de aumentar a segurança e mitigar os riscos para clientes e empresas.
Assista ao nosso IcaroCast: https://www.youtube.com/watch?v=41RQGoKcDog
Preencha o formulário abaixo e solicite uma reunião consultiva com nossos especialistas para entender mais sobre como podemos ajudar a sua empresa nos desafios de segurança.
Eduardo CarronPMO na Icaro Tech Como fazer uma gestão de alta performance dos projetos Com o OKR e o Scrum, os gestores alcançam os objetivos e metas traçados, sem perderem o foco do que é prioritário para os negócios Não é segredo que a alta demanda de trabalho somada à velocidade que as mudanças […]
Marcel RochaUX Designer UX Design em projetos B2B A aplicação de UX Design em projetos B2B desempenha um papel fundamental no sucesso de qualquer produto ou serviço. Embora o termo UX Design seja associado ao desenvolvimento de produtos, sistemas e interfaces digitais que ofereçam uma experiência positiva e satisfatória para o usuário final (B2C), […]
Diego CunhaChapter Leader Torne a jornada digital de sua empresa simples, assertiva e inovadora O processo de digitalização não deve ser traumático nem oneroso, e sim adequado à realidade de cada negócio, e totalmente embasado nos objetivos traçados Aderir a novas tecnologias é um processo desafiador e um grande quebra-cabeças para a sua companhia? […]
