Cuidar a integridade dos dados, da sustentabilidade da organização e da segurança das pessoas não atrapalha a criação e entrega contínua de funcionalidades e serviços fantásticos a cada semana. As dificuldades e as alternativas para conciliar essas prioridades são explicadas no e-book A segurança dos aplicativos na velocidade do DevOps, que traz um conjunto de recomendações práticas para a segurança todo o ciclo, do código à execução. Seja como causa ou efeito, as tecnologias e ferramentas mencionadas no e-book vêm junto a mudanças nas premissas, na qualificação e na cultura dos desenvolvedores e co-autores de serviços digitais.

Desenvolvimento com responsabilidade; se sabe que pode dar errado, não deixa para consertar depois.
Em uma de suas seções, o e-book descreve como as ferramentas ajudam o desenvolvedor a identificar as falhas de segurança, antes de mandar para o teste. Mal comparando, é como um corretor ortográfico e gramatical que livra os revisores das correções mais banais. Contudo, a “responsabilidade do desenvolvedor” tem critérios além da produção de código, e além da própria área de desenvolvimento.

Vulnerabilidade é um fato técnico; risco é um fator estratégico.
Em termos gerais, o custo para corrigir uma falha durante a programação é muito menor do que na fase de testes e incomparável ao de correr atrás do erro depois da entrada em produção. O que é mais complicado para dimensionar é o valor dos ativos envolvidos em determinado serviço; quais dados são expostos por aquela funcionalidade entregue no tempo requerido pelas áreas de negócio.

A cultura de segurança, compliance e privacy by design não pode se restringir a TI e desenvolvimento. O bom desenho dos serviços e processos de negócio já simplifica muito. Um bom exemplo disso são das companhias mais avançadas em GDPR e LGPD, com a aplicação do “princípio da finalidade” – se coletam e acessam os dados estritamente necessários àquela função (de uma pessoa ou de um aplicativo), se reduzindo desde o início o escopo de cibersegurança.

Outra decisão empresarial importante é informar, encorajar e reconhecer a mitigação de riscos como um valor. É claro que o desenvolvedor vai ser admirado pelas funcionalidades entregues, o marketing pela captação de leads e o comercial pelas vendas. Tão meritório quanto gerar lucro, todavia, é evitar prejuízo.

Em um texto enxuto, de 10 páginas, o e-book percorre as principais etapas para tornar a segurança de aplicativos parte integrante do ciclo de vida do software, com avaliações e dicas para:

  • Aplicação dos modelos de testes DAST, SAST, IAST e de segurança de APIsalém de contextualizar cada abordagem, o e-book explica o uso de machine learning para acelerar os testes e reduzir os falsos positivos.
  • Proatividade e automação de testes de segurança com integrações muitas organizações trabalham com equipes de desenvolvedores com linguagem diferentes, software de terceiros e diferentes plataformas. O e-book explica como consolidar e automatizar os testes de segurança, para se ter velocidade sem deixar brechas de segurança em alguma aplicação ou serviço.
  • Monitoramento e autoproteção da aplicação em execuçãoquando a aplicação já está disponível, o RASP (autoproteção do aplicativo de tempo de execução) é um recurso que detecta e bloqueia tentativas de ataque por dentro da aplicação, mitigando violações às bases de dados ou à integridade dos serviços.
  • Faça o download do e-book e veja os pontos de atenção para planejar e executar a melhor estratégia de Segurança de Aplicações.

Junto às análises e recomendações dos especialistas da Micro Focus, podem-se sumarizar três dicas compartilhadas pelos clientes mais maduros nessa jornada:

  1. Identifique os talentos – por temperamento, formação ou pela trajetória profissional (por exemplo, experiência em companhias financeiras), há pessoas na equipe aptas a pensar segurança com o mesmo peso que dão às funcionalidades. Identifique, reconheça e destaque essas referências.
  2. Defina estratégias, processos e métricas – criar negócios e desenvolver aplicativos se tornam praticamente sinônimos, e em alguns casos a autonomia das áreas de negócios chegam a gerar “startups departamentais”. Consolidação de dados; automação abrangente (que atinja todas as linguagens, plataformas e projetos); e controles padronizados são importantes para não se perder nessa dinâmica.
  3. Informação e conversa sobre riscos com todos bom metalúrgico torneia o parafuso pensando na segurança do motorista. Ele consegue enxergar tão adiante na cadeia de valor porque o risco é muito tangível e é simples ver as correlações. Em processos de negócios mais complexos, assim como nas aplicações que os sustentam, nem sempre a percepção de riscos, ou da relevância de um risco, é tão clara e consensual. As áreas de negócios podem nem precisar saber sobre injeção de SQL ou DDoS. O importante é uma consciência geral sobre o valor de uma informação do cliente, as probabilidades de fraude e as consequências de outras falhas. E o ideal é que se tenha critérios comuns e realistas para dimensionar o impacto de um incidente. A partir disso, fazem mais sentido as considerações sobre tecnologia e orçamento.

Saiba mais sobre
as soluções de TI da Micro Focus

Informe seus dados e entraremos em contato






    Prometemos que não enviaremos spam ;-)