Por Leandro Russo

/ Em Segurança da Informação /

Postado em

abr 27, 2019

O Desenvolvimento e a Segurança da Informação

Você já se perguntou qual é a importância da visão de segurança sobre o desenvolvimento do seu sistema ou aplicação?

A informação é um dos bens de maior valor na atualidade, pessoas e empresas brigam entre si para controlar e manipular enormes massas de dados existentes nas redes para chegarem a um resultado que compense seus esforços e, infelizmente, como tudo o que tem valor nesse mundo, tem gente mal-intencionada tentando roubar estas informações o tempo todo.

Como muitas empresas já estão se protegendo contra os cibercriminosos, naturalmente eles têm que se tornar cada vez mais audaciosos, criativos e habilidosos, portanto, todo cuidado é pouco quando falamos da segurança de um ambiente produtivo. Aliás, não adianta ter segurança de perímetro e esquecer da qualidade da aplicação, ambas devem caminhar juntas e é exatamente por isso que existe o Ciclo de Vida do Desenvolvimento Seguro (do inglês Security Development Lifecycle), que consiste justamente em incluir atividades e ferramentas no workflow de desenvolvimento para garantir que a aplicação tenha os requisitos necessários e seja aprovada nos testes de segurança antes de ir para a produção, reduzindo as vulnerabilidades e consequentemente o risco ao seu ambiente.

Além disso, quem tem uma área de desenvolvimento dentro de casa, sabe que existem diversas ferramentas que ajudam a reduzir os gaps de segurança desde o embrião até o ambiente em produção, mas a presença do ser humano e seu raciocínio lógico sempre serão imprescindíveis para considerar ações que o computador não consegue simular, como juntar pequenas brechas inofensivas para criar estratégias agressivas e eficientes, como ataques de brute-force, phishing e ransomeware, por exemplo. Isso sem falarmos de vulnerabilidades antigas e bem famosas que encontramos por aí e viabilizam o uso de outras técnicas como acesso pela porta dos fundos (backdoor) e elevação de privilégios, fora a exposição de dados sigilosos em clear-text e páginas sem qualquer criptografia ou validação de token de sessão.

Enfim, são inúmeras as possibilidades de manipulação de um ambiente que poderiam, na maioria das vezes, ser eliminadas durante o desenvolvimento da aplicação se houvesse uma maior interação, ou talvez um processo envolvendo cada vez mais os times de desenvolvimento e segurança da informação.

Como resultado, o vazamento de dados sigilosos ou a simples notícia de que esta possibilidade existe, pode implicar em consequências enormes no que tange a responsabilidade sobre os dados (LGPD/ GDPR), desconfiança do mercado, prejuízos financeiros e perda da imagem da empresa, então é sempre bom garantir que seus desenvolvedores e seus profissionais de segurança sejam amigos de longa data e por muito tempo.

0
Leandro Russo

Autor: Leandro Russo

Sou formado em Gestão de TI pela UNIP, tenho mais de 12 anos de experiência corporativa em empresas como Itaú-Unibanco, Pão de Açúcar, Natura e TokStok e já vivenciei as rotinas dos times de Projetos, Operações e Pré-Vendas, especialmente com produtos Microsoft, Citrix, Nutanix e Commvault.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *