Security by design é um conceito de grande importância para a indústria de segurança da informação.
Significa pensar em segurança desde o escopo de desenvolvimento de um novo software, prevendo toda possibilidade de riscos aos quais aquela aplicação pode estar sujeita.
Apenas as empresas que não usam software e não estão conectadas à internet estão livres de riscos digitais. Para todas as outras, é importante utilizar aplicações seguras. Com a transformação digital, milhares de novas aplicações são desenvolvidas para facilitar o expediente das empresas.
Por isso, quando falamos sobre aplicações, entenda todo tipo de tecnologia que permita otimizar um processo em sua empresa, seja um software proprietário ou uma aplicação de fabricante externo.
Ao escolher uma tecnologia para acelerar a transformação digital em sua empresa, é fundamental investigar quais são os padrões de segurança daquela aplicação e, ao mesmo tempo, adotar produtos adicionais de cibersegurança.
Por que se preocupar com a segurança no escopo?
Muitas empresas permitem que seus colaboradores trabalhem em regime remoto e acessem plataformas privadas sobre redes públicas, se conectem com ambientes em nuvem para armazenar informações, ou querem lançar seus próprios aplicativos mobile para também estarem atualizadas.
Mas se essas aplicações não são pensadas desde o início para serem seguras, então se multiplicam os riscos que podem impactar o negócio.
Um exemplo prático
Em 2020, as empresas brasileiras serão obrigadas a responder legalmente pela segurança das informações sensíveis de seus clientes. É o que prevê a nova Lei n° 13.709, conhecida como LGPD (Lei de Proteção de Dados), aprovada em agosto. As multas podem chegar até R$ 50 milhões para cada incidente de violação de dados.
Imagine que uma empresa coleta dados sensíveis (por exemplo, nome, CPF, endereço pessoal) por meio de um sistema online que contém uma vulnerabilidade na arquitetura, que permita que um agente malicioso intercepte tráfego e roube dados. Em 2020, este cenário será bastante assustador, mas as empresas deveriam estar se precavendo desde já para adotar tecnologias de segurança da informação e criar sistemas e aplicações seguros desde o desenvolvimento.
Esse não é um cenário tão distante da nossa realidade. No final de agosto de 2018, a rede varejista C&A sofreu um vazamento de dados, após atacantes terem invadido um sistema de gerenciamento de cartões pré-pagos. Os mesmos atacantes divulgaram em redes sociais a ação, expondo a marca.
Esse não é o único exemplo recente. A Boa Vista SCPC, uma agência de análise de crédito que detêm mais de 350 milhões de dados pessoais de clientes brasileiros também sofreu uma invasão que resultou em perda de dados.
De acordo com a aplicação das regras da LGPD, o mínimo requisito é que ambas as empresas devem alertar seus clientes sobre os vazamentos, reportar os incidentes às autoridades responsáveis.
Se a lei já fosse vigente desde já, as empresas estariam sujeitas a multa de até R$ 50 milhões. Em todos os cenários, as perdas em termos financeiros e de reputação já seriam altos.
Como garantir a segurança no escopo?
Pensar em segurança no desenvolvimento de produtos e serviços deveria ser um padrão da indústria, mas com a transformação digital, as empresas correm para ofertar seus serviços sem necessariamente integrar segurança no processo.
No meio de tudo isso, os engenheiros de sistemas precisam de direcionamento para pensar em proteger todo o processo. Um guia básico é a aplicação dos três pilares da segurança da informação: confidencialidade, integridade, disponibilidade. Essas demandas nunca mudam.
Para evitar esse tipo de transtorno, quando a sua empresa for ofertar um novo serviço ou produto digital, ou até implementar um novo processo baseado que usa software, vale considerar as dicas abaixo*:
1. Classifique ativos:
Há inúmeras ferramentas de cibersegurança disponíveis para proteger a sua empresa. Mas para escolher corretamente, é preciso classificar quais dados devem ser protegidos. Para classificá-los, é importante conhecer todos os dados que a sua empresa armazena. Os dados não são iguais e precisam ser priorizados e protegidos com controles diferentes.
2. Mapeie agentes de disrupção:
Um incidente de segurança pode ocorrer em função de malware, de vulnerabilidades em configuração, em hardware, por comportamento inadequado de usuário confiável, por ataque direcionado etc. etc. etc.
Mapeie todos os possíveis meios.
3. Construa aplicações envolvendo táticas de segurança:
Agora o security by design entra em ação. Conhecendo os dados, os riscos e os agentes de disrupção, é hora de arquitetar soluções pensando em formas de aplicar segurança em todas as camadas, desde os riscos típicos até os casos de risco extremo.
Ao criar uma nova aplicação, a empresa pode considerar as seguintes questões:
- O processo que a aplicação promove é o mais seguro possível? Onde pode haver falhas?
- Como um atacante pode explora este recurso?
- O recurso deve estar ativado por padrão? Se sim, existem limites ou opções que poderiam ajudar a reduzir o risco desse recurso?
Última dica
Até quem não é um arquiteto de soluções também pode extrair lições destes episódios. Como você, usuário, pode promover mais segurança ao utilizar os recursos de tecnologia para realizar o seu trabalho? A sua equipe sabe quais são as informações coletadas? Quais são as mais importantes e como elas estão protegidas? Será que a sua empresa está adotando controles básicos de cibersegurança?
Estas perguntas devem ser feitas não apenas por quem desenvolve aplicações, mas quem as utiliza, pois podem ajudar a direcionar a aplicação de segurança na arquitetura de novos recursos corporativos.
Clique aqui e leia mais textos de cibersegurança em nosso Blog.
Com mais de 3.000 clientes, a Blockbit é a maior fabricante de soluções de cibersegurança do Brasil e pode auxiliar você a proteger o seu negócio das mais diversas ameaças, vulnerabilidades e ataques cibernéticos, sejam internos ou externos, genéricos ou direcionados.
Quer saber mais? Entre em contato com a gente pelo e-mail contato@blockbit.com, pelo telefone (11) 2165-8888 ou pelo WhatsApp (11) 5039-2127 e conheça nossas soluções.