Por: Surinder Dhar – Diretor de Soluções Mobile – Desenvolvimento Comercial

A inovação é a base de qualquer empresa que queira ser líder de mercado ou manter sua posição de liderança. Mas, embora a segurança seja uma preocupação constante para a maioria das empresas, ela ainda não faz parte do ciclo de inovação delas. Isso fica evidente na pesquisa da Bromium (“The CISOs Dilemma: Security Versus Productivity” [O dilema do Diretor de Segurança: segurança x produtividade, em tradução livre]), em que 74% dos diretores disseram que a segurança é um entrave para a produtividade e 91% disseram que os usuário finais veem a segurança corporativa como um problema para a inovação.

É muito comum acreditarem que a segurança restringe o ritmo da inovação, por isso essas estatísticas não nos surpreendem. Isso é um resultado de uma mentalidade focada em TI de décadas atrás, que prega que, se algo não estiver quebrado, não precisa de conserto. A TI já se transformou ao longo da última década com a implementação de agile, DevOps, cloud/edge computing, integração e automação contínuas, o que tornou a segurança um assunto mais complicado. A quantidade de vazamentos de dados e ciberataques aumenta ano a ano e não se consegue ver um fim para isso.

Na Valid, optamos por nos afastar dessa mentalidade e pensar na segurança como uma oportunidade para levar produtos melhores para o mercado. Além disso, acreditamos que a segurança é mais do que um adicional a um produto ou serviço ou um recurso extra. Como uma empresa que oferece produtos inovadores, estamos sempre buscando aumentar a segurança em nosso portfolio de produtos.

A segurança dá trabalho, exige pensamento inovador e acompanhamento contínuo. Tudo começa com a aplicação dos processos de segurança no começo do ciclo de desenvolvimento do produto enquanto construímos as equipes necessárias e os processos para a inovação. A abordagem da Valid é eficaz durante a implementação, já que exige que se leve em conta os problemas de arquitetura mais comuns. É uma mentalidade de segurança em primeiro lugar para desenvolvedores de software e produtos que evita problemas fundamentais no design de arquitetura, implementação e ajuda a desenvolver técnicas novas para identificar e reduzir essas falhas. Veja algumas das técnicas usadas:

  • Session Fixation: é um ataque que permite que a pessoa sequestre uma sessão de usuário válida. O ataque explora uma limitação na forma como o aplicativo web gerencia o ID da sessão, mais especificamente os aplicativos web vulneráveis.
  • Modelagem de ameaças: a expressão pode ter muitos significados, mas essas definições precisam incluir:
    • Revisar o processo analítico para descobrir o que pode dar errado com o software ou produto que você está criando.
    • Criar um conjunto de invasores remotos e desenvolver formas de impedir esses ataques.
  • Análise de risco de arquitetura: é uma abordagem sistemática para avaliar decisões levando em conta critérios de qualidade. Para que seja eficaz, os avaliadores precisam ter conhecimento das falhas na arquitetura com base no contexto do software, ou seja, exigências, táticas de arquitetura aplicadas, etc.
  • Treinamento de segurança: oferecer treinamento adequado para os funcionários terem um conhecimento comum nas soluções de segurança.

Essas técnicas se tornaram bastante populares e as pesquisas só continuarão a crescer conforme as ameaças de segurança aumentem. A gestão da segurança não é mais um exercício retrospecto de compliance, mas sim um processo de transformação necessário para a inovação com inteligência que precisa estar embutido na estratégia do negócio.