Conhecimento especializado

O papel de segurança cibernética no desenvolvimento de sistemas

Tecnico
07 de out de 2021

#cybersecurity

Ao longo dos últimos anos ataques de alto perfil expuseram fraquezas no cenário atual de segurança cibernética. Os cibercriminosos acessaram ilegalmente bilhões de registros, incluindo e-mails, senhas e informações financeiras.

Empresas de tecnologia, bancos e provedores de saúde estão entre os negócios mais visados por esses ataques, mas não foram os únicos. Segundo a Fortinet, foram 16,2 bilhões de tentativas de ataques somente no Brasil no primeiro semestre de 2021. Isso significa que se sua empresa não faz parte dessa estatística agora, ela certamente será no futuro.

Mas então, o que esperar o do cenário de segurança cibernética? Cada dia mais, a proteção dos dados de uma empresa se firma como um aspecto essencial da TI.

No entanto, os novos desenvolvimentos tecnológicos, junto com a recente sofisticação dos ataques, têm colocado a segurança ainda mais nos holofotes, fazendo as organizações repensarem seus sistemas de proteção.

Pensando nisso, no artigo de hoje abordaremos o papel da segurança cibernética no desenvolvimento de sistemas e o que esperar do futuro nessa área! Acompanhe conosco!

A segurança cibernética e desenvolvimento de softwares

No início dos anos 2000, a Microsoft já era uma das maiores empresas de tecnologia do mundo. No entanto, falhas no processo de desenvolvimento dos seus softwares custaram milhões à organização e aos seus clientes ao redor do mundo.

Em fevereiro de 2002, reagindo aos problemas, toda a divisão Windows da empresa foi fechada. A codificação e o planejamento de rotina pararam. Cada desenvolvedor da divisão foi realocado com um objetivo: encontrar e corrigir bugs de segurança nos códigos da empresa.

Muitas vulnerabilidades foram corrigidas. Mas a empresa também percebeu que essas iniciativas reativas eram insustentáveis — algo precisava mudar na estrutura do processo de desenvolvimento para evitar futuras epidemias de segurança.

No final de 2003, a Microsoft revelou algo que chamou de “Ciclo de Vida do Desenvolvimento Seguro”. Basicamente, a empresa incorporou considerações de segurança cibernética ao próprio processo de codificação, em vez de relegá-lo a um conjunto de reflexões tardias.

E, mais do que simplesmente implementar o conceito internamente, a Microsoft levou o novo modelo para o mercado, divulgando-o para parceiros e outros desenvolvedores em seu ecossistema.

Esta foi a primeira vez que a segurança foi incorporada a todas as etapas do processo de desenvolvimento de sistemas. De lá para cá, é claro, muita coisa mudou — mas a importância de pensar a segurança previamente (e não somente na fase de testes) foi cada dia mais comprovada. A seguir, mostramos o porquê.

Os benefícios de adotar um ciclo de desenvolvimento seguro

Para a Microsoft e para outras organizações, no passado a segurança era algo secundário no desenvolvimento de sistemas, levada em consideração apenas durante a fase de teste. Mas a chegada das metodologias ágeis e o crescente aumento dos ataques mostraram que incorporar testes contínuos em todas as fases do desenvolvimento era fundamental para construir um software seguro.

Hackers e cibercriminosos estão constantemente buscando novas maneiras de explorar as vulnerabilidades dos sistemas. Ao tornar a segurança uma prioridade em todo o ciclo, os desenvolvedores e as partes interessadas têm mais oportunidades de solucionar possíveis riscos de segurança e corrigi-los desde o início como parte integrante do processo de desenvolvimento.

A Microsoft percebeu isso lá atrás e foi seguida por diversas outras organizações, não só de grande porte como também pelos pequenos desenvolvedores. Eles viram que o teste de segurança deve ser uma área contínua de atenção, não um esforço reacionário único, e que isso poderia gerar os
seguintes benefícios para sua empresa:

Remoção de erros de design antes de serem incorporados ao código;
Custos mais baixos, graças à detecção precoce e eliminação de falhas de segurança;
Melhora da reputação da empresa, como uma organização que se preocupa com a proteção e segurança dos dados.

O que esperar do futuro do desenvolvimento de software seguro?

No momento, estamos passando por mudanças nas estruturas de desenvolvimento. Hoje, para que o software seja realmente seguro, os programadores devem ser proativos na identificação e remoção de vulnerabilidades o mais cedo possível

Ao mesmo tempo, a mudança para a nuvem está mudando a dinâmica de como as organizações devem criar, adaptar, proteger e operacionalizar o código. Para facilitar isso, alguns novos ajustes foram lançados, como o DevOps e o DevSecOps.

A própria Microsoft, cuja história contamos acima, utiliza hoje o que é chamado de funil de descoberta de vulnerabilidade. Esse funil inclui:

Análise estática para encontrar e remover falhas de segurança óbvias;
Escaneamento de código-fonte usando ferramentas automatizadas;
Análise da superfície de ataque para identificar os pontos de entrada e ameaças com maior probabilidade de afetar um trecho de código;
Testes de penetração usando processos automatizados para identificar vulnerabilidades que um ser humano pode encontrar.

Essa quantidade de testes exige tanto esforço que, mesmo que a Microsoft contratasse todos os programadores do planeta, não haveria como inspecionar cada pedaço de código manualmente. Isso lança luz sobre a crescente necessidade do uso de ferramentas automatizadas para lidar com o trabalho.

Para continuar aprendendo, veja também as etapas do desenvolvimento seguro na prática e saiba como aplicá-lo na sua organização!