Segurança na base do desenvolvimento de software

A preocupação com a segurança de uma aplicação deve estar presente desde o início de seu desenvolvimento a fim de evitar o retrabalho dos desenvolvedores ou, no pior cenário, o lançamento de aplicações com falhas de segurança, que podem aumentar riscos para usuários de produtos digitais.

Essas falhas de segurança, por sua vez, podem levar as marcas “donas” dos produtos digitais a enfrentarem problemas jurídicos em decorrência do vazamento de dados ou prejuízos devido a compras e movimentações financeiras fruto de crimes digitais.

A aceleração na transformação digital, forçada muito em parte pela pandemia que enfrentamos, o foco no time-to-market como primeira prioridade, o aumento crescente de ataques de hackers a empresas e órgãos do governo com o consequente sequestro e vazamento de dados é um dos gatilhos para essa mudança cultural.

É importante lembrar que novas ameaças aparecem a todo o momento e ao inserir a segurança como parte do processo de concepção de uma solução torna mais fácil a prevenção de eventuais falhas conhecidas e providenciar correções mais rapidamente, reduzindo o tempo para exploração dessas brechas. São ganhos que são transparentes para usuários finais, mas protegem soluções dos tão temidos vazamentos de dados.

Grandes vazamentos de dados recentes como os do LinkedIn, Facebook e Marriot International foram alvos da imprensa e levantam preocupações constantes: “O que é feito com as informações pessoais que fornecemos em um cadastro de redes sociais, lojas de varejo, ou até mesmo em um simples pedido de delivery de comida?” e “Quão seguro é fornecer esse tipo de informação por vias digitais?”.

Abordar técnicas e estratégias de segurança desde o início do desenvolvimento não é um conceito novo e empresas dos mais diversos portes vem adotando uma estratégia de "shift-left", trazendo as preocupações sobre segurança desde os primeiros passos.

Essa metodologia se mesclou com a adoção de DevOps no processo de desenvolvimento de software e foi denominada DevSecOps. O DevSecOps, adiciona a necessidade de pensar na segurança da aplicação e da infraestrutura de TI no DevOps, que propõe maior integração entre as equipes de desenvolvimento e de operadores de software, com o objetivo de melhorar o tempo de entrega de uma aplicação ou novas funcionalidades em um software. Mas, para isso, é preciso mudar processos e a cultura imediatista das empresas.

Lembre-se que o seu software representa no ambiente virtual o mesmo que a sede da sua empresa representa no ambiente físico, logo é preciso incorporar conceitos análogos de segurança no ambiente digital. Em um cenário simples, podemos exemplificar da seguinte forma:

 

Ambiente Físico Ambiente Digital
Cercas eletrificadas e grades Utilização de firewalls e bom uso da DMZ (demilitarized zone)
Estranhos não podem ingressar no prédio Módulo de gestão de identidade e autenticação (IAM)
Entrada de fornecedores e clientes são registrados pelo crachá e câmeras Logs de auditoria e rastreamento de operações
Funcionários têm acesso às dependências de acordo com sua função Autenticação baseada em políticas por funções (RBAC)

 

Para que tudo isso funcione é necessário o engajamento da empresa inteira. Todos precisam estar alinhados para que a segurança faça parte do dia a dia. As empresas devem oferecer aos seus clientes no ambiente digital níveis de segurança equivalentes ou maiores dos que oferecem no ambiente físico. Os gestores precisam lembrar que: assim como já acontece no ambiente físico, qualquer dano gerado a um cliente, como o vazamento de dados pessoais também é de sua responsabilidade.

A gestão de informações pessoais escalou os patamares das altas cúpulas de governos e organizações pelo mundo todo. Os governos que compõem a União Europeia se uniram em um esforço para atualizar o DPD (Data Protection Directive) de 1995, considerando novas tecnologias e preocupações, resultando na criação do GDPR (General Data Protection Regulation) em 2018, fornecendo um modo mais fácil dos cidadãos entenderem como seus dados são utilizados por empresas e órgãos públicos, bem como instruções de como se defender se houver mau uso desses dados.

O GDPR cruzou fronteiras internacionais, influenciando desde startups a grandes corporações, que foram obrigadas a adequar seus processos de tratamento de informações pessoais e levantou um grande precedente para reflexão sobre o que tem sido feito com essa quantidade imensa de dados que trafega diariamente pelos sistemas digitais existentes - o cidadão é o dono de suas informações pessoais e tem o direito de decidir o que é feito com elas.

No Brasil também há um exemplo de extrema importância para a segurança de dados pessoais. A administração de riscos e falhas, normas de governança, a adoção de medidas preventivas de segurança, bem como a replicação de boas práticas e certificações existentes nos mercado são determinadas pela Lei nº 13.709, de 2018, conhecida como a Lei Geral de Proteção de Dados Pessoais (LGPD).

O vazamento de dados pessoais de terceiros é um crime previsto na lei nº 12.737, de 30 de novembro de 2012, que dispõe sobre a tipificação criminal de delitos informáticos, com penas que podem variar de três meses a três anos de prisão. Mas isso não tem impedido que os ataques e vazamentos cresçam a cada ano.

Soluções como encriptação, aplicação da gestão da identidade e Single Sign-On (SSO) não chamam atenção nas aplicações, assim como uma boa fundação e vergalhões de aço para tornar um edifício mais seguro, não chamam a atenção de compradores, mas suas aplicações precisam ser concebidas desde o início do projeto de uma solução e estão presentes, por baixo da superfície, com o objetivo de aumentar a segurança e mitigar os riscos para clientes e empresas.

 

Preencha o formulário abaixo e solicite uma reunião consultiva com nossos especialistas para entender mais sobre como podemos ajudar a sua empresa nos desafios de segurança.  

    01/09/2021
    Como construir negócios antifrágeis

    Gabriel AraujoHead of Customer Success Criado por Nassim Nicholas Taleb, o termo antifragilidade não é muito comum no mundo dos negócios (tirando, é claro, o ecossistema de investidores financeiros e adeptos do bitcoin, onde ele parece ter se popularizado). Porém, não há como negar que essa palavra é ideal para denominar as empresas que conseguiram […]

    LEIA MAIS
    24/08/2021
    O Futuro do NOC (Network Operation Center)

    Gilson MissawaHead de Marketing e Ofertas O que é um NOC? NOC (Network Operation Center ou Centro de Operações de Rede) é uma área responsável por realizar a monitoração ativa da infraestrutura de rede de uma empresa e garantir que ela esteja funcionando de forma adequada para entregar serviços de qualidade e evitar disrupções ou […]

    LEIA MAIS
    24/08/2021
    Desativação das redes 2G e 3G: o que isso significa?

    Rafael UlhoaArquiteto de Soluções Advisor | Custumer Success   Durante minhas últimas férias, me deparei com a notícia que a AT&T nos EUA iniciará a desativação de suas redes 2G e 3G em fevereiro de 2022. E porque estão desativando o 2G e 3G? Custo! É caro manter equipes capacitadas em todas as tecnologias, além […]

    LEIA MAIS

    CAMPINAS

    TEL.: +55 19 3731.8300

    SÃO PAULO

    TEL.: +55 11 3509.3000

    RIO DE JANEIRO

    TEL.: +55 21 3514.5900

    MIAMI

    TEL.: +1 305 424.8946
    A Icaro Tech atua na Transformação Digital das empresas, através de Automação com foco em Eficiência Operacional e Experiência do Usuário.
    linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram