O desenvolvimento de um software seguro é uma pauta comum para as empresas que buscam desenvolver soluções, produtos e serviços de nível empresarial e comercial. Aplicar políticas e procedimentos visa reduzir brechas e manter a integridade e confidencialidade dos seus dados, bem como garantir a segurança dos seus usuários.
De acordo com um estudo global da Tenable divulgado pelo Security Report, o temor com a segurança cibernética é maior que as incertezas das variações macroeconômicas, já que “garantir um ambiente seguro para o usuário é um pré-requisito na economia digital”. Segundo dados de outra pesquisa da organização, 40,4 bilhões de vazamentos de dados ocorreram no mundo em 2021. Destes, 815 milhões ocorreram no Brasil – um crescimento de 78% no total de registros expostos no período.
“Com o aumento da complexidade dos sistemas e a crescente ameaça de ataques cibernéticos, é fundamental que organizações adotem políticas de segurança robustas para proteger os seus ativos”, afirma Alexandre Antabi, diretor da Macher Tecnologia.
Ele explica que as políticas para desenvolvimento de software seguro são um conjunto de procedimentos, diretrizes e práticas que garantem que diferentes aspectos de segurança do software sejam levados em conta durante todo o ciclo de vida do produto – desde a idealização até a implementação em produção e posterior monitoramento.
Antabi lista as boas práticas que podem ser levadas em conta na definição de um processo de desenvolvimento seguro nos tópicos a seguir:
- Realizar testes constantes para evitar que vulnerabilidades – próprias ou de terceiros (como bibliotecas open source) – sejam liberadas em produção;
- Adotar criptografia para proteger os dados “at-rest” ou em trânsito. Quanto mais sensíveis forem os dados, maiores devem ser os requisitos de salvaguarda para o tratamento, transferência e armazenamento de informações;
- Gerenciar ativamente acessos à softwares, APIs, bibliotecas e repositórios;
- Remover usuários sem necessidade de negócio ou reduzir permissões sempre que necessário;
- Proteger as APIs, com ferramentas robustas de autenticação e desenvolvê-las com funções específicas e segregadas (ex. leitura ou gravação), além de tratar e monitorar erros e volume de requisições;
- Implementar ferramentas para a detecção de vulnerabilidades e o rastreio de ações de usuários, tratando estes incidentes de forma rápida e eficiente;
- Revisar e implementar soluções para tratar as causas das maiores vulnerabilidades em software mapeadas pelo projeto OWASP Top 10;
- Manter o software atualizado: da(s) máquina(s), dos vendors, das bibliotecas, etc para evitar vulnerabilidades conhecidas e corrigir potenciais falhas de segurança;
- Planejar-se para endereçar produtos que estejam chegando ao final de seu ciclo de vida (EOS/EOL);
- Treinar ativamente a equipe em suas políticas de desenvolvimento de software seguro, políticas de TI, temas da LGPD, privacidade e proteção de dados;
- Auditar os processos e os entregáveis da equipe, com frequência razoável à criticidade da operação e/ou dos dados.
Segundo Antabi, para melhorar a segurança do software, as organizações devem adotar políticas de segurança robustas, investir em treinamento, fazer testes de segurança regulares e manter softwares atualizados. Além disso, é importante contar com parceiros estratégicos especializados em privacidade e proteção de dados.
“Ao criar políticas de software seguro, você pode se basear nas normas e frameworks de segurança mais reconhecidos no mercado, como ISO, NIST, BSA e OWASP”, recomenda. Para ele, o resultado final, mais importante do que o framework usado, é mitigar os riscos e exposições ao software corporativo, produto e usuários finais.
“E, como o mercado, ferramentas, vulnerabilidades e as boas práticas estão em constante transformação, suas políticas e processos também devem ser atualizados com frequência”, articula.
Antabi explica que o DPO (Data Protection Officer) surgiu com a GDPR (Europeia). No Brasil, a LGPD (Lei Geral de Proteção de Dados Pessoais) chama este mesmo profissional de encarregado pelo tratamento de dados pessoais.
“A função do encarregado é ser a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados)”, afirma. O papel do DPO deve ir além de ser uma ponte entre ANPD e titulares, ou um burocrata organizacional, desempenhando um papel consultivo e interativo para toda organização, diz ele.
“O encarregado deve ser responsável por criar canais efetivos de comunicação entre líderes de verticais de negócio, seus departamentos e times de projetos e produtos para que, frente às mudanças em seus processos, busquem aconselhamento e validação de abordagens junto ao DPO”, afirma.
Para o diretor da Macher Tecnologia, o DPO deve ajudar na conscientização e no treinamento dos colaboradores, para que cada um compreenda o seu papel frente às posturas da organização quanto à privacidade e proteção de dados, sabendo quando e como buscar o suporte especializado.
Para concluir, Antabi ressalta que o desenvolvimento de um software seguro é parte de um projeto de conformidade com a LGPD e sendo um esforço contínuo e uma responsabilidade compartilhada entre desenvolvedores, líderes e clientes. Ao criar soluções e serviços digitais, os requerimentos de segurança devem ser incorporados já na fase de design do produto ou do projeto. Aliás, os times de TI, juntamente com o DPO podem ajudar nesse entendimento.
“Treinamentos de conscientização das políticas e procedimentos internos são necessários para garantir que todos no projeto entendam dos riscos, oportunidades e responsabilidades, estando aptos a pensar em formas de minimizar eventual exposição”, afirma Antabi.
Para mais informações, basta acessar: https://www.machertecnologia.com.br/
