Desenvolvimento de apps: corrigir vulnerabilidades não é suficiente. Precisamos não criá-las
*Por Wagner Elias
Um estudo da TIQS identificou que a
maioria das aplicações mais populares apresentam duas ou mais vulnerabilidades
de segurança previstas no Owasp Top 10 - O ranking da Open Web Application
Security Project (OWASP) que lista as brechas mais críticas, comuns e perigosas
quando o assunto é desenvolvimento de projetos web. Com o crescimento de quase
40% da comunidade de desenvolvedores no país e com o aumento de 92% nos ataques
de ransomware no Brasil, é preciso indagar: de que forma os novos
desenvolvedores estão lidando com as falhas em segurança de aplicações em meio
à um setor em constante expansão?
É senso comum que a segurança precisa
ser prioridade, mesmo com entregas de softwares com prazos cada vez menores.
Quando falamos em segurança de aplicações, queremos dizer três características
básicas: confidencialidade, integridade e disponibilidade de dados. Para manter
esses requisitos é necessário um nível de maturidade maior para realizar
análises manuais. Como o mercado ainda sofre com escassez de mão de obra, todas
as áreas de tecnologia estão com déficit para contratação, levando à inserção
no mercado de desenvolvedores menos experientes e sem o treinamento correto e
necessário para entregar produtos com a qualidade necessária.
Temos visto que a maturidade no setor
continua a mesma, ou até menor. Porém, a conscientização é maior! Em períodos
que muito se fala em automação e digitalização dos processos, ouso dizer que
uma análise automatizada é muito inferior a uma análise manual, uma vez que as
soluções tecnológicas, por mais eficientes que sejam, ainda não possuem a mesma
especialidade de um profissional revisando o código fonte, a arquitetura e
fazendo os testes de penetração e de invasão para verificar se a solução é
resiliente frente a um usuário malicioso que pode vir a invadir sua aplicação e
se o produto vai se comportar de maneira adequada.
Mas erra quem crê que a segurança das
aplicações é um trabalho exclusivo do setor de TI. Uma publicação recente do
Gartner evidencia que o papel do líder de segurança cibernética precisa evoluir
para acomodar as mudanças, uma vez que os riscos cibernéticos cada vez mais
avançam das áreas de TI para um ecossistema mais abrangente dentro das
companhias.
É aí que entra o maior desafio:
capacitar toda a equipe de desenvolvedores para avaliar e tratar as
vulnerabilidades, entendendo que desenvolver softwares é uma coisa, desenvolver
softwares com segurança é outra. A segurança ainda está muito associada ao
teste e isso não funciona por um simples motivo: entregar softwares e depois
testar aumenta consideravelmente a carga de trabalho de uma equipe que já tem
que entregar programas novos todos os dias. Ao encontrar uma brecha de
segurança, o trabalho volta para o desenvolvimento para corrigir, um ciclo
longo e caro.
Todos os colaboradores devem,
primeiramente, entender quais são os riscos associados ao programa em criação e
como mitigá-los ainda durante o desenvolvimento. Ainda falta maturidade técnica
e estruturação das empresas para lidar com esse desafio. Vemos diversas empresas
que já destinam um orçamento para segurança de aplicação, só que esse orçamento
é voltado para contratação de ferramentas automatizadas, na maior parte dos
casos.
Para falarmos em um maior nível de
maturidade em segurança de aplicação, precisamos falar em capacitação,
processo, treinamento em geral, automação. Segurança é bem mais complexo do que
uma simples lista de afazeres.
*Wagner Elias é CEO da Conviso
Nenhum comentário