Segurança na base do desenvolvimento de software
A preocupação com a segurança de uma aplicação deve estar presente desde o início de seu desenvolvimento a fim de evitar o retrabalho dos desenvolvedores ou, no pior cenário, o lançamento de aplicações com falhas de segurança, que podem aumentar riscos para usuários de produtos digitais.
Essas falhas de segurança, por sua vez, podem levar as marcas “donas” dos produtos digitais a enfrentarem problemas jurídicos em decorrência do vazamento de dados ou prejuízos devido a compras e movimentações financeiras fruto de crimes digitais.
A aceleração na transformação digital, forçada muito em parte pela pandemia que enfrentamos, o foco no time-to-market como primeira prioridade, o aumento crescente de ataques de hackers a empresas e órgãos do governo com o consequente sequestro e vazamento de dados é um dos gatilhos para essa mudança cultural.
É importante lembrar que novas ameaças aparecem a todo o momento e ao inserir a segurança como parte do processo de concepção de uma solução torna mais fácil a prevenção de eventuais falhas conhecidas e providenciar correções mais rapidamente, reduzindo o tempo para exploração dessas brechas. São ganhos que são transparentes para usuários finais, mas protegem soluções dos tão temidos vazamentos de dados.
Grandes vazamentos de dados recentes como os do LinkedIn, Facebook e Marriot International foram alvos da imprensa e levantam preocupações constantes: “O que é feito com as informações pessoais que fornecemos em um cadastro de redes sociais, lojas de varejo, ou até mesmo em um simples pedido de delivery de comida?” e “Quão seguro é fornecer esse tipo de informação por vias digitais?”.
Abordar técnicas e estratégias de segurança desde o início do desenvolvimento não é um conceito novo e empresas dos mais diversos portes vem adotando uma estratégia de "shift-left", trazendo as preocupações sobre segurança desde os primeiros passos.
Essa metodologia se mesclou com a adoção de DevOps no processo de desenvolvimento de software e foi denominada DevSecOps. O DevSecOps, adiciona a necessidade de pensar na segurança da aplicação e da infraestrutura de TI no DevOps, que propõe maior integração entre as equipes de desenvolvimento e de operadores de software, com o objetivo de melhorar o tempo de entrega de uma aplicação ou novas funcionalidades em um software. Mas, para isso, é preciso mudar processos e a cultura imediatista das empresas.
Lembre-se que o seu software representa no ambiente virtual o mesmo que a sede da sua empresa representa no ambiente físico, logo é preciso incorporar conceitos análogos de segurança no ambiente digital. Em um cenário simples, podemos exemplificar da seguinte forma:
| Ambiente Físico | Ambiente Digital |
|---|---|
| Cercas eletrificadas e grades | Utilização de firewalls e bom uso da DMZ (demilitarized zone) |
| Estranhos não podem ingressar no prédio | Módulo de gestão de identidade e autenticação (IAM) |
| Entrada de fornecedores e clientes são registrados pelo crachá e câmeras | Logs de auditoria e rastreamento de operações |
| Funcionários têm acesso às dependências de acordo com sua função | Autenticação baseada em políticas por funções (RBAC) |
Para que tudo isso funcione é necessário o engajamento da empresa inteira. Todos precisam estar alinhados para que a segurança faça parte do dia a dia. As empresas devem oferecer aos seus clientes no ambiente digital níveis de segurança equivalentes ou maiores dos que oferecem no ambiente físico. Os gestores precisam lembrar que: assim como já acontece no ambiente físico, qualquer dano gerado a um cliente, como o vazamento de dados pessoais também é de sua responsabilidade.
Leia Também:
Seus processos de TI e negócios estão bem suportados pela tecnologia?
A gestão de informações pessoais escalou os patamares das altas cúpulas de governos e organizações pelo mundo todo. Os governos que compõem a União Europeia se uniram em um esforço para atualizar o DPD (Data Protection Directive) de 1995, considerando novas tecnologias e preocupações, resultando na criação do GDPR (General Data Protection Regulation) em 2018, fornecendo um modo mais fácil dos cidadãos entenderem como seus dados são utilizados por empresas e órgãos públicos, bem como instruções de como se defender se houver mau uso desses dados.
O GDPR cruzou fronteiras internacionais, influenciando desde startups a grandes corporações, que foram obrigadas a adequar seus processos de tratamento de informações pessoais e levantou um grande precedente para reflexão sobre o que tem sido feito com essa quantidade imensa de dados que trafega diariamente pelos sistemas digitais existentes - o cidadão é o dono de suas informações pessoais e tem o direito de decidir o que é feito com elas.
No Brasil também há um exemplo de extrema importância para a segurança de dados pessoais. A administração de riscos e falhas, normas de governança, a adoção de medidas preventivas de segurança, bem como a replicação de boas práticas e certificações existentes nos mercado são determinadas pela Lei nº 13.709, de 2018, conhecida como a Lei Geral de Proteção de Dados Pessoais (LGPD).
O vazamento de dados pessoais de terceiros é um crime previsto na lei nº 12.737, de 30 de novembro de 2012, que dispõe sobre a tipificação criminal de delitos informáticos, com penas que podem variar de três meses a três anos de prisão. Mas isso não tem impedido que os ataques e vazamentos cresçam a cada ano.
Assista ao vídeo:
O que você precisa saber sobre DevOps
Soluções como encriptação, aplicação da gestão da identidade e Single Sign-On (SSO) não chamam atenção nas aplicações, assim como uma boa fundação e vergalhões de aço para tornar um edifício mais seguro, não chamam a atenção de compradores, mas suas aplicações precisam ser concebidas desde o início do projeto de uma solução e estão presentes, por baixo da superfície, com o objetivo de aumentar a segurança e mitigar os riscos para clientes e empresas.
