Security by design é um conceito de grande importância para a indústria de segurança da informação.
Significa pensar em segurança desde o escopo de desenvolvimento de um novo software, prevendo toda possibilidade de riscos aos quais aquela aplicação pode estar sujeita.
Apenas as empresas que não usam software e não estão conectadas à internet estão livres de riscos digitais. Para todas as outras, é importante utilizar aplicações seguras. Com a transformação digital, milhares de novas aplicações são desenvolvidas para facilitar o expediente das empresas.
Por isso, quando falamos sobre aplicações, entenda todo tipo de tecnologia que permita otimizar um processo em sua empresa, seja um software proprietário ou uma aplicação de fabricante externo.
Ao escolher uma tecnologia para acelerar a transformação digital em sua empresa, é fundamental investigar quais são os padrões de segurança daquela aplicação e, ao mesmo tempo, adotar produtos adicionais de cibersegurança.
Por que se preocupar com a segurança no escopo?
Muitas empresas permitem que seus colaboradores trabalhem em regime remoto e acessem plataformas privadas sobre redes públicas, se conectem com ambientes em nuvem para armazenar informações, ou querem lançar seus próprios aplicativos mobile para também estarem atualizadas.
Mas se essas aplicações não são pensadas desde o início para serem seguras, então se multiplicam os riscos que podem impactar o negócio.
Um exemplo prático
Desde 2020, as empresas brasileiras são obrigadas a responder legalmente pela segurança das informações sensíveis de seus clientes. É o que prevê a Lei n° 13.709, conhecida como LGPD (Lei de Proteção de Dados), aprovada em agosto de 2018. As multas podem chegar até R$ 50 milhões para cada incidente de violação de dados.
Imagine que uma empresa coleta dados sensíveis (por exemplo, nome, CPF, endereço pessoal) por meio de um sistema online que contém uma vulnerabilidade na arquitetura, que permita que um agente malicioso intercepte o tráfego e roube dados. Em 2020, na pandemia, este cenário foi bastante assustador, mas as empresas já deveriam estar se precavendo e adotado tecnologias de segurança da informação e criado sistemas e aplicações seguras desde o desenvolvimento.
Esse não é um cenário tão distante da nossa realidade. No final de agosto de 2018, a rede varejista C&A sofreu um vazamento de dados, após atacantes terem invadido um sistema de gerenciamento de cartões pré-pagos. Os mesmos atacantes divulgaram em redes sociais a ação, expondo a marca.
Esse não é o único exemplo recente. A Boa Vista SCPC, uma agência de análise de crédito que detêm mais de 350 milhões de dados pessoais de clientes brasileiros também sofreu uma invasão que resultou em perda de dados, assim como tantas outras grandes empresas: Lojas Renner, CVC, Porto Seguro, Serasa Experian, entre outros. Plataformas como Facebook e LinkedIn.
De acordo com a aplicação das regras da LGPD, o mínimo requisito é que ambas as empresas devem alertar seus clientes sobre os vazamentos, reportar os incidentes às autoridades responsáveis.
Se a lei fosse vigente naquele momento, as empresas estariam sujeitas a multa de até R$ 50 milhões. Em todos os cenários, as perdas em termos financeiros e de reputação já seriam altas.
Como garantir a segurança no escopo?
Pensar em segurança no desenvolvimento de produtos e serviços deveria ser um padrão da indústria, mas com a transformação digital, as empresas correm para ofertar seus serviços sem necessariamente integrar segurança no processo.
No meio de tudo isso, os engenheiros de sistemas precisam de direcionamento para pensar em proteger todo o processo. Um guia básico é a aplicação dos três pilares da segurança da informação: confidencialidade, integridade, disponibilidade. Essas demandas nunca mudam.
Para evitar esse tipo de transtorno, quando a sua empresa for ofertar um novo serviço ou produto digital, ou até implementar um novo processo baseado que usa software, vale considerar as dicas abaixo*:
Há inúmeras ferramentas de cibersegurança disponíveis para proteger a sua empresa. Mas para escolher corretamente, é preciso classificar quais dados devem ser protegidos. Para classificá-los, é importante conhecer todos os dados que a sua empresa armazena. Os dados não são iguais e precisam ser priorizados e protegidos com controles diferentes.
Um incidente de segurança pode ocorrer em função de malware, de vulnerabilidades em configuração, em hardware, por comportamento inadequado de usuário confiável, por ataque direcionado etc. etc. etc.
Mapeie todos os possíveis meios.
Agora o security by design entra em ação. Conhecendo os dados, os riscos e os agentes de disrupção, é hora de arquitetar soluções pensando em formas de aplicar segurança em todas as camadas, desde os riscos típicos até os casos de risco extremo.
Ao criar uma nova aplicação, a empresa pode considerar as seguintes questões:
Última dica
Até quem não é um arquiteto de soluções também pode extrair lições destes episódios. Como você, usuário, pode promover mais segurança ao utilizar os recursos de tecnologia para realizar o seu trabalho? A sua equipe sabe quais são as informações coletadas? Quais são as mais importantes e como elas estão protegidas? Será que a sua empresa está adotando controles básicos de cibersegurança?
Estas perguntas devem ser feitas não apenas por quem desenvolve aplicações, mas quem as utiliza, pois podem ajudar a direcionar a aplicação de segurança na arquitetura de novos recursos corporativos.
A SafeTech atua desde 2008 no mercado, trazendo soluções em infraestrutura e segurança tecnológica personalizadas para o seu negócio, além das adequações da LGPD. Temos ajudado muitas empresas a aumentarem seu faturamento, pois, enquanto nós cuidamos do seu departamento de TI, você se preocupa em exercer apenas o seu papel. E então, vamos fazer um orçamento? Entre em contato conosco pelos telefones (62) 3070-5841 ou (62) 9 9251-6355 ou (62) 9 9207-2992, pelos e-mails comercial@safe-tech.in ou wellington@safe-tech.in.
Fonte: blockbit.com/pt/blog
Link: https://www.blockbit.com/pt/blog/security-by-design/