Por que as empresas devem prestar atenção ao desenvolvimento seguro de softwares
Por Rui Maciel | 27 de Fevereiro de 2021 às 11h30
É inegável que a pandemia da COVID-19 fez com que a transformação digital fosse acelerada em um sem número de empresas. Mas esse processo não vem sem um ônus: com muitos profissionais sob o regime de home office devido à obrigatoriedade do distanciamento social, as brechas de segurança apareceram na mesma medida, expondo a fragilidade da proteção digital de muitas companhias.
E com isso, aumentaram também os ataques por parte dos cibercriminosos, que exploram as vulnerabilidades dessas empresas - muitas delas básicas. Em um relatório divulgado pela Fortinet na última quarta-feira (24), o Brasil sofreu nada menos do que 8,4 bilhões de tentativas de ataques cibernéticos ao longo de 2020, sendo que, desse montante, 5 bilhões ocorreram apenas nos últimos três meses do ano. No total, levando em consideração a América Latina como um todo, foram 41 bilhões de tentativas de ciberataques, incluindo campanhas de phishing.
Com esse montante em mente, muitas empresas, finalmente, começaram a se preocupar mais com segurança. Uma pesquisa da PWC feita com mais de 3.200 executivos e profissionais de TI em 44 países - Brasil incluso - indicou que mais da metade das empresas (57%) pretendem aumentar seus investimentos em cibersegurança em 2021. Além disso, 50% dessas organizações querem que a segurança digital - incluindo a proteção de dados - seja uma parte estratégica de seus negócios.
E essa preocupação com segurança deve passar por diversos setores, incluindo um nicho que poucas empresas prestam atenção, mas que concentra boa parte das vulnerabilidades usadas por cibercriminosos em seus ataques: o desenvolvimento de software.
Tanto se trata de uma área que merece cuidados que, segundo um levantamento do centro de defesa cibernética da Microsoft, houve um crescimento considerável nos golpes voltados a tirar do ar ou acessar aplicações web das empresas. Só o Brasil apresenta um volume 23% maior que outros países da América Latina nos ataques de negação de serviço.
E de olho nesse cenário, o Instituto Daryus de Ensino Superior Paulista (IDESP) quer capacitar profissionais de software para o chamado desenvolvimento seguro. Para isso, a escola está lançando um curso que visa preparar o profissional para identificar, explorar e corrigir diferentes vulnerabilidades quando ele estiver no processo de desenvolvimento de um programa.
E para explicar melhor como funciona esse curso - e como as empresas ainda falham em fornecer a proteção adequada nesse processo - o Canaltech conversou com Ricardo Tavares, coordenador e professor da pós-graduação em segurança cibernética do IDESP.
Confira como foi o papo:
CT - Hoje, quais as principais deficiências dos setores de TI das empresas quando falamos de cibersegurança? Muitos dos vazamentos e problemas de segurança que acompanhamos passam por brechas em softwares?
Ricardo Tavares: A principal deficiência é não compreender que a cibersegurança é um tema sério, isto é, que não é um tema apenas de TI, mas do negócio. Devido à dependência existente entre uma empresa e tecnologias, após um ataque cibernético as empresas literalmente podem deixar de existir. Como o tema não é tratado pelo negócio, na maioria das vezes não possui apoio e orçamento necessários para mitigar os riscos cibernéticos e lidar com as ameaças de forma adequada.
Atualmente, a maioria dos ataques é bem-sucedido por explorar falhas muito básicas, muitas delas consideradas inclusive negligências, mas o grande problema é a educação dos profissionais em compreender a existência dessas falhas, as quais podemos citar como mais utilizadas pelos atores de ameaça senhas fracas, falta de atualização de segurança em softwares e falta de processo de segurança no desenvolvimento de aplicações, como portais na Internet.
CT - Quais são as principais ameaças de segurança na área de desenvolvimento de software? Em que etapa do processo os desenvolvedores ficam mais expostos?
R.T.: O maior problema é que na maioria dos casos a segurança não é incorporada na concepção do projeto, o que chamamos de “security by design”. Quando a segurança não é incorporada, teremos um grande problema, já que o produto final nascerá com suas características de seguranças fracas, afetando a confidencialidade, integridade e disponibilidade dele.
Sendo assim, a fase mais crítica está no planejamento do projeto, e se o produto/software não começa pensando em segurança, a correção do mesmo em sua fase final pode custar mais do que todo o desenvolvimento realizado até o momento.
Devido a este problema foram criados conceitos como o DevSecOps que integram a segurança em todas as fases do clico de vida do desenvolvimento, desde o planejamento/concepção até a fase de implementação. A grande vantagem do DevSecOps é o uso de conceitos de automação que exigirão menos intervenção humana, a cada fase do ciclo de vida de desenvolvimento de software são incorporadas medidas de segurança de forma automatizada.
CT - Hoje, o que um profissional deve observar para realizar o desenvolvimento seguro de software? Quais etapas ou processos ele deve seguir?
R.T.: O desenvolvedor pode usar o Software Assurance Maturity Model (SAMM) como guia, pois o mesmo é um modelo que fornece uma maneira eficaz e mensurável para todos os tipos de organizações analisarem e melhorarem sua postura de segurança de software. O OWASP SAMM oferece suporte a todo o ciclo de vida do software, e ajudará o desenvolvedor a:
- a avaliar a postura atual de segurança de software da organização;
- a definir o objetivo da organização;
- a definir um roteiro de implementação para garantir a segurança no desenvolvimento;
- obter dicas sobre como implementar atividades específicas para garantir a segurança.
CT - Quais os principais pontos abordados pelo curso de Web Application Security, do IDESP? O que ele aprenderá ao longo da jornada?
R.T.: O curso Web Application Security tem como objetivo ensinar como testar uma aplicação Web do ponto de vista de segurança, utilizando técnicas e ferramentas para explorar possíveis vulnerabilidades que são bastante comuns nesse tipo de aplicação.
A grade do curso é composta por: Introdução a Web Application Security; Segurança e Aplicações; OWASP; DevOps & DevSecOps; Modelagem de Ameaças; riscos e Privacy by Design & Security by Design. Portanto este curso fornece ao profissional o conhecimento necessário para identificar, explorar e corrigir diferentes vulnerabilidades.
Ressaltamos que o treinamento foi desenvolvido por experts em desenvolvimento seguro, já foi homologado em grandes empresas por mais de 400 alunos e é uma ótima oportunidade para quem deseja avançar na carreira de TI.
CT - O curso discutirá problemas reais de empresas ou haverá simulações onde o aluno precise achar soluções para um problema de segurança?
R.T.: Durante o curso, teremos as duas metodologias. Discutimos casos de empresas que se tornaram públicos e há um ambiente simulando um e-commerce para o aluno encontrar algumas vulnerabilidades. Aprendendo assim, os impactos e como não mais cometer esses erros no desenvolvimento, pois são passadas as formas de mitigá-los.
CT - Para realizar o curso, quais os requisitos o candidato deve apresentar? Que profissionais do setor de TI esse curso é direcionado?
R.T.: Basta ter notebook pessoal, conhecimentos básicos de Aplicações Web (HTML, CSS e JavaScript) e Lógica de Programação. O curso é direcionado para programadores e desenvolvedores de software que trabalham com o desenvolvimento de aplicativos Web, arquitetos e engenheiros de software, especialistas em segurança de aplicativos, profissionais de testes, QAs, pentesters e analistas de aquisição de software ou responsabilidades semelhantes.
CT - Como funciona o formato in-company do curso, voltado para as empresas? Como funciona o processo de personalização do curso nesses casos?
R.T.: Para fazer uma turma fechada, é necessário que tenha de 7 a 10 alunos. Em um primeiro momento, é feito o alinhamento do objetivo do cliente, do nível de maturidade dos colaboradores no assunto e se adaptações serão necessárias dentro do conteúdo proposto.
Já houve casos, por exemplo, em que reduzimos parte do conteúdo e consequentemente a carga horária, em outros fizemos mesclagem com o treinamento de Modelagem de Ameaças e Arquitetura Segura. O mais importante é entender a necessidade para entregar um conteúdo de valor e adaptado para a realidade de cada empresa.
CT - Considerando que cibersegurança é uma área que está em constante mudança, após a finalização do curso, o aluno terá um acompanhamento posterior, com acesso a algum tipo de atualização periódica?
R.T.: Atualizamos o conteúdo de nossos cursos com a velocidade que o mercado exige. A chave para isso está no corpo docente que são todos atuantes no mercado e precisam estar em dia com essa constante mudança. Por isso, gostamos tanto do formato ao vivo, mesmo que seja online, pois queremos ter essa interatividade e flexibilidade com os alunos.
Para deixar nossos alunos sempre atualizados, fazemos webinars, lives, eventos e blogposts periodicamente, além de termos comunidades ativas de segurança da informação e muito networking entre especialistas da área. Nosso objetivo é ter uma grande comunidade disseminadora de conhecimento.
CT - Analisando o cenário de cibersegurança, o IDESP planeja ministrar outros cursos no setor, para outras áreas da TI?
R.T.: O Instituto Daryus de Ensino Superior Paulista já promoveu a capacitação profissional para mais de 20 mil alunos. Nós oferecemos cerca de 60 cursos, sendo que 10 cursos são de pós-graduação reconhecidos pelo MEC. Nosso objetivo é sempre proporcionar as principais novidades do mercado para os profissionais da área de TI.
O IDESP possui uma grade atualizada com cursos voltados para educação executiva, treinamento e certificações internacionais nas áreas de continuidade de negócios, cibersegurança, segurança da informação, gestão de riscos, gestão de TI, entre outros. Para 2021, a expectativa é que aumentemos as opções para todos os setores.
Leia também: