*Ricardo Ambrizzi
Com o avanço tecnológico e as mudanças significativas dos últimos anos das organizações, o ramo de desenvolvimento de software sofreu grandes alterações no fluxo de criação de novos softwares/aplicativos, devido as tecnologias usufruídas pelos consumidores.
Além dos times de desenvolvimento de softwares serem cada vez mais multidisciplinares, e sendo cada vez mais cobrados de otimizar as atividades de gerenciamento de prazos, se adaptarem a novas tecnologias, buscar a otimização no desempenho, nas funcionalidades e na usabilidade, e ao mesmo tempo assegurar os controles de segurança da informação que muitas vezes não são vistos de forma prioritária.
As novas tecnologias como cloud computing, tornou o processo de desenvolvimento de um software/aplicativo cada vez mais ágil através de ambientes integrados, com alta performance e com métodos mais flexíveis e configuráveis. Tornando os ambientes mais vulneráveis, conforme demonstra o relatório da Fortinet de 2020, onde o Brasil sofreu mais de 3,4 bilhões de ataques cibernéticos em 2020, demonstrando o número expressivo de vulnerabilidades de segurança da informação expostas nos sistemas/aplicações.
Com as novas regulamentações como a LGPD – Lei Geral de Proteção de Dados (Nº 13709) e a Resolução do Bacen (Nº 4.893), que dispõem sobre os requisitos para o tratamento de dados pessoais em meios digitais e requisitos de segurança da informação para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, os controles de segurança da informação durante o processo de concepção, desenvolvimento e sua manutenção é de suma importância, deixando de ser apenas uma necessidade mais uma obrigação legal pelas empresas para a implementação de forma efetiva dessa boa prática.
Como implementar a Segurança da Informação no Desenvolvimento de Software?
Diante de diversos frameworks e boas práticas para a implementação da segurança da informação nos processos de desenvolvimento de softwares, o conceito de Security by Design descreve as melhores práticas e padrões de segurança aplicadas ao design da arquitetura e utilizados como diretrizes para assegurar a segurança e a privacidade dos sistemas/aplicações.
O Security by Design é definido por 10 (dez) princípios que devem ser implementados no ciclo de desenvolvimento seguro entre os principais princípios estão: a minimização e restrição de acessos desnecessários, a padronização no processo de desenvolvimento, a minimização de privilégios de acessos indevidos, proteções externas contra-ataques cibernéticos (detecção, proteção e reação) e a segurança no processo de manutenção dos softwares.
Buscando assim, que a segurança da informação seja aplicada no sistema desde a sua concepção e seja iniciada com a estruturação de uma arquitetura adequada, considerando: a confidencialidade, a integridade e a disponibilidade como premissas básicas.
Com o intuito de mitigar os riscos de práticas maliciosas, o Security by Design considera como realista este cenário e através das definições e premissas definidas pelo OWASP (Open Project Application Security Project), a organização deve efetuar a mitigação dos impactos de uma possível vulnerabilidade de segurança da informação.
Diante do cenário atual, a segurança da informação no processo de desenvolvimento é de suma importância desde a sua concepção até a entrega final do sistema/aplicação, tanto para atendimento regulatório como requisitos de fornecedores, trazendo como principal importância é a proteção contra-ataques cibernéticos, exposição / vazamento de dados e a proteção da imagem da organização e assegurar a proteção dos usuários.
A [SAFEWAY] compreendendo esse necessidade desenvolveu o Cybersecurity Health Check cujo objetivo é executar um diagnóstico de Cybersecurity e Segurança da Informação dos controles implementados na sua empresa, contemplando os pilares Processos, Pessoas e Tecnologia.
* Ricardo Martins Melo Ambrizzi, Consultor de Segurança da Informação na [SAFEWAY]
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil. Hoje através de mais de 22 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.