Últimas

Corrigir vulnerabilidades não é suficiente. Precisamos não criá-las


*Por Wagner Elias

Um estudo da TIQS identificou que a maioria das aplicações mais populares apresentam duas ou mais vulnerabilidades de segurança previstas no Owasp Top 10 - O ranking da Open Web Application Security Project (OWASP) que lista as brechas mais críticas, comuns e perigosas quando o assunto é desenvolvimento de projetos web. Com o crescimento de quase 40% da comunidade de desenvolvedores no país e com o aumento de 92% nos ataques de ransomware no Brasil, é preciso indagar: de que forma os novos desenvolvedores estão lidando com as falhas em segurança de aplicações em meio à um setor em constante expansão?

É senso comum que a segurança precisa ser prioridade, mesmo com entregas de softwares com prazos cada vez menores. Quando falamos em segurança de aplicações, queremos dizer três características básicas: confidencialidade, integridade e disponibilidade de dados. Para manter esses requisitos é necessário um nível de maturidade maior para realizar análises manuais. Como o mercado ainda sofre com escassez de mão de obra, todas as áreas de tecnologia estão com déficit para contratação, levando à inserção no mercado de desenvolvedores menos experientes e sem o treinamento correto e necessário para entregar produtos com a qualidade necessária.

Temos visto que a maturidade no setor continua a mesma, ou até menor. Porém, a conscientização é maior! Em períodos que muito se fala em automação e digitalização dos processos, ouso dizer que uma análise automatizada é muito inferior a uma análise manual, uma vez que as soluções tecnológicas, por mais eficientes que sejam, ainda não possuem a mesma especialidade de um profissional revisando o código fonte, a arquitetura e fazendo os testes de penetração e de invasão para verificar se a solução é resiliente frente a um usuário malicioso que pode vir a invadir sua aplicação e se o produto vai se comportar de maneira adequada.

Mas erra quem crê que a segurança das aplicações é um trabalho exclusivo do setor de TI. Uma publicação recente do Gartner evidencia que o papel do líder de segurança cibernética precisa evoluir para acomodar as mudanças, uma vez que os riscos cibernéticos cada vez mais avançam das áreas de TI para um ecossistema mais abrangente dentro das companhias. 

É aí que entra o maior desafio: capacitar toda a equipe de desenvolvedores para avaliar e tratar as vulnerabilidades, entendendo que desenvolver softwares é uma coisa, desenvolver softwares com segurança é outra. A segurança ainda está muito associada ao teste e isso não funciona por um simples motivo: entregar softwares e depois testar aumenta consideravelmente a carga de trabalho de uma equipe que já tem que entregar programas novos todos os dias. Ao encontrar uma brecha de segurança, o trabalho volta para o desenvolvimento para corrigir, um ciclo longo e caro.

Todos os colaboradores devem, primeiramente, entender quais são os riscos associados ao programa em criação e como mitigá-los ainda durante o desenvolvimento. Ainda falta maturidade técnica e estruturação das empresas para lidar com esse desafio. Vemos diversas empresas que já destinam um orçamento para segurança de aplicação, só que esse orçamento é voltado para contratação de ferramentas automatizadas, na maior parte dos casos.

Para falarmos em um maior nível de maturidade em segurança de aplicação, precisamos falar em capacitação, processo, treinamento em geral, automação. Segurança é bem mais complexo do que uma simples lista de afazeres.

*Wagner Elias é CEO da Conviso 

Nenhum comentário