Como funcionam segurança e usabilidade no desenvolvimento remoto de software?

Imagine que precisa transferir, agora, e o mais rápido possível, um arquivo para um colega de trabalho que está localizado do outro lado do mundo, ou em uma realidade pandêmica, trabalhando de casa, ainda que na mesma cidade. Ambos têm prazos a serem cumpridos, sempre muito apertados. Você provavelmente pensou em uma solução ágil, que faria isso em alguns cliques e com alta taxa de transferência; mas levou em conta, também, o nível de segurança dessa opção?

• Dicas básicas para a proteção de dados durante o desenvolvimento de softwares
• O Brasil está preparado para ataques contra empresas de infraestrutura?
• Stalkerware: uso de apps espiões cresce 48% e vítimas estão mais vulneráveis

A pressão, que já era constante no mundo do desenvolvimento de arquivos, ganhou caráter ainda mais pesado quando os trabalhadores do mundo se espalharam, cada um para sua casa. Antes, já havia uma atenção do ponto de vista da segurança, no sentido de evitar vazamentos na transferência de informações, e agora, isso se pulverizou ainda mais, com todo mundo trabalhando de forma remota. É um caminho que, na visão de especialistas, não tem mais volta, principalmente com a perspectiva de adoção de regimes híbridos de trabalho.

Saiu na frente quem, antes mesmo da chegada do novo coronavírus, já pensava em um futuro, se não híbrido, muito mais digital. A Microsoft cita o próprio exemplo como um case de sucesso, com o foco em tecnologias de cloud computing que se tornou uma das marcas da gestão do CEO Satya Nadella se tornando o ponto principal para os próprios negócios e também os de seus clientes no momento em que a mudança para o remoto se tornou indispensável para a continuidade dos negócios. “Quando a pandemia foi declarada, colocamos 160 mil profissionais para trabalhar remotamente, de repente. Isso só foi possível porque vínhamos em uma jornada de preparação”, explica Marcelo Zillo, conselheiro-chefe de segurança da empresa na América Latina.

A barreira dos aparelhos

De acordo com os números da Microsoft, 70% das empresas de todo o mundo se viram obrigadas a permitir que seus funcionários passassem a trabalhar com os próprios computadores ou celulares durante a pandemia. O estado da segurança digital, entretanto, não acompanhou este movimento e o resultado foi um aumento drástico no número de ataques contra sistemas corporativos, levando a um total de mais de 8 trilhões de sinais diários de ameaças processados pelas ferramentas de defesa da gigante.

Para os especialistas do setor, mais do que na falta de preparo, o principal problema dessa transição esteve na abordagem aos dispositivos. “A casa das pessoas deveria ter sido considerada como uma extensão da empresa, que deveria ter sido protegida da mesma forma”, explica Daniel Cunha Barbosa, pesquisador de segurança da ESET. Segundo ele, muitas companhias passaram a permitir o trabalho remoto “como se nada estivesse acontecendo” e, com isso, o desenvolvimento passou a acontecer, muitas vezes, sem proteções de nível mínimo.

O especialista cita, aqui, um paradoxo que exige um bocado de atenção que, muitas vezes, não foi dispensada. Ao contrário do que acontece na sua empresa, você, no computador de casa, tem privilégios de administrador e pode realizar qualquer alteração, entrega de permissão ou ação com arquivos e softwares. Aumenta, assim, a superfície de ataque em relação aos sistemas mais controlados do ambiente corporativo, mas ao mesmo tempo, não é nem mesmo legalmente possível que uma empresa exija alterações e mudanças em seu PC doméstico, por exemplo, já que ele não faz parte do patrimônio da companhia.

Enquanto isso, como apontado por Zillo, o desenvolvimento dos produtos precisa continuar e, nessa situação, um colaborador já poderia começar o trabalho usando um dispositivo comprometido. Da mesma forma, sem bloqueios e monitoramentos que aconteciam no ambiente da empresa, o funcionário pode cair na tentação citada no começo do texto, de utilizar sistemas comuns, mais amigáveis e fáceis, para compartilhar informação e entregar trabalhos, sem nem mesmo imaginar que, ao fazer isso, também está criando um potencial problema de segurança.

“A grande maioria das pessoas não tenta burlar um sistema de proteção por mal. Por isso, a segurança precisa estar alinhada à usabilidade”, completa o consultor da Microsoft, citando um princípio que chama de empatia digital e voltado a tornar a vida do usuário mais fácil e a defesa, transparente. Barbosa também concorda com essa visão e, para o especialista da ESET, cabe a cada companhia entregar as salvaguardas necessárias para que o trabalho de casa esteja seguro.

É mais fácil dito do que executado, entretanto, principalmente quando entramos em termos específicos. Em uma indústria tão atingida por vazamentos e comprometimentos como a dos games, por exemplo, está, também, a noção de que muitas ferramentas de monitoramento, controle e, principalmente, desenvolvimento, ainda não atendem as necessidades de um mundo mais conectado e remoto. Não é à toa que os efeitos da pandemia podem ser sentidos de forma tão drástica nessa indústria.

Foi essa a experiência de Raphael Baldi, diretor de tecnologia e cofundador da Aquiris Game Studio, de Porto Alegre (RS). Ele cita o uso de kits de desenvolvimento focados nos consoles de vídeo game como o principal ponto que exige melhorias, principalmente, pelas restrições relacionadas às políticas de acesso, que não permitem que elas sejam removidas do escritório físico.

“Nossas ferramentas de manutenção e monitoramento do parque de tecnologia ainda estão longe de nos atender completamente”, explica Baldi. Segundo ele, chega a ser curioso que uma empresa que nasceu em um mundo digital ainda tenha tanta transformação digital pela frente, principalmente no que toca a presença física de colaboradores nas instalações para lidar com questões como suporte técnico, resoluções de problemas de hardware e falhas.

Durante a pandemia, a Aquiris se viu na posição de não apenas ter que trabalhar em seus jogos, mas também desenvolver sistemas de compartilhamento de dispositivos via acesso remoto. “Testar os jogos com a latência elevada ainda é um problema a ser resolvido”, explica o CTO, que cita, também, a disponibilidade de sistemas e a necessidade de processos remotos para liberação de acesso como os principais desafios dessa transição.

“Nunca confie, sempre verifique”

Para garantir a segurança e a integridade de seus sistemas, a desenvolvedora gaúcha adotou uma mentalidade de acesso mínimo, sem regras abrangentes para acesso aos servidores e abrindo os acessos apenas aos trechos necessários. Segundo o CTO, isso vale também para os sistemas voltados à execução dos jogos, de forma a manter os dados dos usuários seguros assim como sua própria produção de títulos.

“Essa cultura nos ajuda, já que as informações confidenciais firam restritas apenas aos times que necessariamente precisam trabalhar com elas”, acrescenta Baldi, indicando também que um monitoramento constante da própria rede, assim como de brechas encontradas em outras players do setor, ajuda no aprimoramento da segurança das aplicações. Com isso, aponta, a Aquiris foi bem-sucedida e não teve intrusões em seus sistemas algo que o CTO considera um marco devido à quantidade de parceiros com quem trabalha e a quantidade de informações privilegiadas trafegadas.

Dos indie games para a outra ponta do espectro, em uma das maiores da tecnologia, um princípio conhecido como zero trust (ou confiança zero) também ajudou que a mudança para o trabalho remoto acontecesse sem comprometimentos e pouco impacto na produtividade. Uma das ideias da Microsoft é trabalhar com uma validação constante de dispositivos, usuários e tecnologias, no momento do acesso aos ambientes internos de produção e desenvolvimento. São checagens que são realizadas antes do login e também depois, avaliando a aplicação de atualizações de sistemas, a presença de softwares de segurança e até a localização geográfica do usuário, com inteligência artificial trabalhando sempre para garantir que tudo esteja correndo bem.

Ao mesmo tempo, tudo isso acontece de forma “invisível”, por meio do sistema operacional e inteligências artificiais. “Segurança não pode ser um obstáculo, senão teremos um sério problema”, complementa Zillo, adicionando conceitos que a companhia chama de higiene cibernética, como o uso de autenticação em múltiplos fatores e biometria, de uma forma que, até mesmo, as próprias senhas não precisassem serem lembradas pelos colaboradores.

Com isso, aponta Zillo, a Microsoft foi capaz de adotar o trabalho totalmente remoto, e agora, um retorno aos escritórios de forma híbrida, sem bater de frente em um dos principais obstáculos dessa transição, relacionado ao uso de dispositivos. Desde que todos os aparelhos passem nos testes, ele pode operar de seu computador pessoal ou corporativo, a partir de diferentes smartphones e de qualquer lugar.

Consciência, inteligência (artificial) e usabilidade

“A informação tem que estar protegida onde quer que esteja. Segurança precisa ser um atributo dos dados”, adiciona o conselheiro, incluindo mais um fator tecnológico na conversa. Ele aponta para ferramentas de nuvem que possuem opções integradas às próprias informações, como é o caso do Office 365 e seus controles de impressão, compartilhamento e até validade dos arquivos, como artifícios que garantem uma maior proteção a informações sensíveis que precisem ser trafegadas.

Mais do que apenas atributos configuráveis, tais elementos podem ser fixados para toda a organização ou ativados automaticamente, pela IA, quando dados confidenciais de diferentes teores forem identificados. Nesse caminho, também aponta para o que talvez seja o ponto mais complicado na adoção de regimes híbridos e de uma realidade digital: a mudança de paradigmas.

“Não dá para usar tecnologia do passado para proteger o presente ou o futuro”, afirma Zillo. Para ele, em uma nova realidade, é possível que sistemas antigos não sejam mais adequados e, em vez de se agarrarem a eles, as empresas podem se beneficiar de outros controles existentes e mais modernos, com ferramentas que já se provaram eficazes. A ideia, aponta, é evitar a reinvenção da roda, e sim, adotar tecnologias que permitam a adição de um diferencial competitivo.

Na Aquiris, por exemplo, essa mudança já está acontecendo, ainda que exista um longo caminho pela frente. A desenvolvedora de jogos decidiu migrar praticamente todos os serviços para a nuvem, ainda que existam obstáculos ainda intransponíveis no que toca os kits de produção de jogos. As conversas, afirmam Baldi, são constantes e a transparência, um requisito essencial para a continuidade dessa transição.

O especialista da ESET também aponta a necessidade de conscientização como um ponto principal da mudança no paradigma de trabalho. Na visão dele, mais do que apenas garantir o uso de ferramentas seguras e dar aos colaboradores sistemas ágeis e funcionais para que eles desenvolvam seus softwares, é importante garantir que todos estejam cientes das necessidades, do ponto de vista da segurança, e entendam os riscos a que estão submetidos.

Barbosa também indica que esse trabalho precisa ser feito quanto aos gestores, que precisam entender a nova realidade e, novamente, entregar um nível de proteção adequado ao trabalho híbrido. Notebooks fornecidos pela empresa, por exemplo, podem acompanhar todas as políticas necessárias; no caso do uso de computadores pessoais, antivírus, sistemas de varredura e VPNs são essenciais. “Vale infinitamente mais a pena arcar com o valor baixo de licenças de softwares de proteção do que ter um roubo de todas as informações sobre o que está sendo produzido”, adiciona.

Além disso, tanto o especialista quanto Zillo engrossam o coro de que a conscientização é o melhor caminho a seguir tanto para garantir que os colaboradores se protejam quanto entendam porque isso é necessário. “O trabalho remoto ou híbrido veio para ficar. Então, é preciso que todos compreendam essa nova realidade e o que é necessário para que tudo siga bem”, completa o conselheiro da Microsoft.