Segurança deve estar presente desde a concepção de um novo desenvolvimento de software

Segurança deve estar presente desde a concepção de um novo desenvolvimento de software, Matteo Nava, CEO da Berghem comenta porque e como.

Cada vez mais a tendência é trazer a segurança cibernética para o início do processo de desenvolvimento de software. Quanto mais cedo forem levados em conta os requisitos de segurança, mais se evita o desperdício de tempo e de dinheiro – com horas e horas de “refação” – e, principalmente, mais efetiva é a segurança no produto final do desenvolvimento.

O conceito se aplica a abordagens diversas, como o DevSecOps, para a metodologia de desenvolvimento ágil, ou S-SDLC (Secure Software Development Lifecycle), para o desenvolvimento em cascata, para citar duas das mais frequentemente utilizadas hoje. O importante é encarar a segurança como item obrigatório no desenvolvimento.

Estudo de caso realizado pela Berghem a partir de consultoria para clientes mostrou que desenvolver produtos ou features seguros desde a sua concepção pode antecipar e solucionar até 90% de possíveis problemas de segurança, especialmente os mais críticos. E para isso é preciso, primordialmente, que as equipes de desenvolvimento e de segurança aprendam a andar juntas.

Em outras palavras: que os desenvolvedores percebam o valor das orientações e recomendações de segurança, e que o time de segurança compreenda os objetivos de negócio e as necessidades de cada desenvolvimento. Podemos dizer, hoje, que se torna ultrapassada a mentalidade de implementar determinada aplicação ou funcionalidade com vistas a acelerar negócios deixando para depois a correção das possíveis falhas de desenvolvimento. Quando se trata de segurança, está claro que os prejuízos são bem maiores que as vantagens.

Antecipar os problemas na fase de desenvolvimento, mais do que prudente, é salutar para o rendimento do trabalho e para os resultados de negócio. Nesse sentido, também é importante que os desenvolvedores saibam, tecnicamente, quais questões de segurança têm sido enfrentadas pela empresa. Assim, evitam que se repitam esses problemas e encontrem subsídios para uma modelagem de ameaças que resulte em maneiras de responder a riscos operacionais comuns.

Mas a segurança não pode ser dedicada apenas aos novos desenvolvimentos: a atenção aos sistemas legados e integrações é igualmente indispensável. Sistemas que há anos acompanham a empresa em seu dia a dia contêm regras de negócios ainda válidas.

E como integrar novos softwares a esses sistemas? Em primeiro lugar é preciso verificar a segurança deles, assegurando-se de que não possuam brechas para fraudes ou invasões; depois, certificar-se de que não haja fragilidade na comunicação entre os novos e os velhos sistemas.  

Esse cenário é comum a empresas de todos os setores. As ideias aqui apresentadas com certeza serão importantes, em uma primeira instância, do ponto de vista da eficiência operacional. Mas, em inúmeros casos, uma segurança sólida é também percebida pelos clientes, que se relacionam confiantes com a empresa – um valor intangível, inestimável.

Por Matteo Nava, CEO da Berghem

Veja também:

Sobre mindsecblog 1781 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!