Suas aplicações realmente estão seguras?

 
Em dias em que ataques massivos de escala global como o WannaCry e Petya se tornam cada vez mais recorrentes e devastadores, é imprescindível que empresas que atuam com desenvolvimento de software se preocupem com a segurança dos seus produtos para não serem engolidas pelos ataques nem pelo mercado.
Novas vulnerabilidades e exploits são descobertos e mapeados aos montes, diariamente. Por isso, testes e correções de segurança são etapas essenciais em qualquer ciclo de desenvolvimento de software (termo conhecido em inglês: Software Development Life Cycle - SDLC). A maioria desses modelos amplamente adotados pelo mercado - como o Capability Maturity Model Integration (CMMI) e o Team Software Process for Secure Software Development (TSP) - tem por design a função de garantir a qualidade e segurança do software.
 
Esse foi o conceito trazido pela explosão do movimento “DevOps” e as maravilhas da automação. Assim, os testes de qualidade e a correção de bugs antes da entrega em ambientes de produção ficaram cada vez mais rápidos e reduziram muitos custos e perdas devido a bugs. Em paralelo, as equipes de segurança estavam cada vez mais desafiadas a garantir a segurança sendo que o tempo entre uma entrega e outra estava cada vez menor. Eis que surge um novo conceito para revolucionar todo o mindset tradicional do DevOps: o DevSecOps, que é a interligação de ferramentas e testes de segurança automatizadas nos fluxos e pipelines de código no DevOps das companhias.
 
Para isso, tecnologias mencionadas pelo IT Glossary do Gartner como SAST (Static Application Security Testing), DAST (Dynamic Application Security Testing) e IAST (Interactive Application Security Testing) são incorporadas como etapas no SDLC de aplicações exigindo o mínimo esforço manual possível e o maior retorno para a qualidade do produto sendo desenvolvido.
 
Adicionalmente, caso a companhia queira ir além dos sistemas e tecnologias que fazem a localização de vulnerabilidades na aplicação, pode-se recorrer serviços de Pentest (Penetration Testing), os quais são fornecidos por consultores e especialistas na atividade de invasão, intrusão e localização de falhas de segurança em software por meio da simulação de um ataque malicioso.
 
Portanto, o segredo do investimento em segurança da informação não é pensar em quanto você vai gastar, mas sim no quanto você vai deixar de perder graças a proteção fornecida aos seus serviços e sistemas. Pois uma vulnerabilidade causa impactos negativos para sua marca. Tais como, multas, sansões rigorosas e abandono por parte dos consumidores por não confiarem mais na empresa. Afinal, pense como cliente, você aceitaria um provedor de software que não se preocupasse com a Integridade, disponibilidade e confidencialidade do sistema?! Pois é, seu cliente também não! 
 
*Ângelo Moura é analista de inovação e desenvolvimento na SEC4YOU, empresa brasileira com foco em segurança da informação.