TECNOLOGIA
No centro de ataques cibernéticos, falhas em programas de segurança de software desafiam organizações
10/02/2021 08:30:00
Artigo por Ronald Glatz, administrador de Redes e infraestrutura da Supero Tecnologia
Por Ronald Glatz
Administrador de Redes e infraestrutura da Supero Tecnologia
Os ataques cibernéticos aumentaram com a pandemia e no centro do problema estão os programas de segurança de software atuais, que não acompanham o ritmo das ameaças, do desenvolvimento e do home office.
Somente de janeiro a setembro deste ano, foram mais de 3,4 bilhões de tentativas no país, segundo a Fortinet, líder global em segurança cibernética.
No terceiro trimestre, a ameaça com mais investidas no Brasil - foram 284 milhões - se aproveitou do uso de softwares sem atualização pelas empresas.
Esses impactos geram novas tendências, e as organizações precisam estar preparadas para que falhas de segurança não se repitam e 2021 não seja mais um ano de vulnerabilidades.
Cada vez mais complexas, as aplicações exploradas nesses ataques se apoiam em elementos internos e de parceiros externos, além de serem constantemente ampliadas para suportar novas funcionalidades e operações, o que as fragiliza ao longo do tempo.
Para piorar o quadro, a pesquisa da Forrester indica que só uma menor parte das organizações está respondendo a esses problemas: apenas 14% das empresas respondentes integram de fato a segurança em todo o ciclo de desenvolvimento de softwares, e as que estão começando a fazê-lo iniciam a integração normalmente pela fase de testes.
O diagnóstico dessas análises é que, agindo assim, as organizações terão dificuldade de manter seguras suas aplicações.
Sem o amplo uso de automação e ferramentas, bem como processos e pessoas engajadas, é inviável construir e manter softwares antecipando falhas.
Como se isso não fosse o bastante, 2020 trouxe uma variável a mais nessa equação: o home office e toda a cascata de vulnerabilidades que veio com ele.
Nesse contexto, é possível observar quais tendências em segurança de softwares devem se desenhar e ganhar tração junto às organizações no novo ano que se aproxima:
-
A primeira delas é a implementação de testes de segurança mais cedo no ciclo de desenvolvimento. É preciso criar esforços redobrados para identificar e lidar com problemas de segurança em software precoce e facilmente, durante todo o desenvolvimento. Essa abordagem está em estreita consonância com a adoção de práticas que aproximam os desenvolvedores de software (Devs) e os operadores do software/administradores do sistema (Ops). Ela ajudará o time de segurança a ganhar consciência de que nem todos os problemas serão resolvidos antes do desenvolvimento e a fazer com que desenvolvedores vejam a segurança como responsabilidade deles também.
-
A segunda tendência é automatizar os testes. Substituir a governança manual pela automação diminuirá vulnerabilidades e educará os desenvolvedores em tempo real, pois quanto mais testes e mais precoces eles forem, mais rapidamente as falhas são reparadas e por quem escreveu o código.
-
Também já se percebem mais investimentos em SCA – Software Composition Analysis -, que não apenas identifica vulnerabilidades em softwares de código aberto, como recomenda maneiras de remediá-las, permitindo que desenvolvedores as implementem com apenas um clique. Apesar de requerer alto nível de confiança na ferramenta, construí-la pode ser mais uma maneira de escalar o desenvolvimento com segurança. Mas, para isso, será fundamental fornecer aos desenvolvedores um guia sobre quando aceitar as recomendações da ferramenta ou quando buscar uma aprovação adicional.
-
Por último, é preciso ter na equipe desenvolvedores campeões em segurança. Eles serão os pontos de referência do time, oferecendo conselhos e ajuda na resolução de problemas, mas também fazendo a ponte de contato com a equipe de segurança. No entanto, as empresas não devem ter a ilusão de encontrar esse profissional completamente pronto no mercado. Segurança é notoriamente um tema negligenciado nos cursos de graduação da área, sendo bem conhecido o gap em boas práticas de segurança em desenvolvimento. Tudo indica que o cenário forçará as empresas a assumir parte da demanda por educação da força de trabalho e a desenvolver essas skills, priorizando treinamentos e capacitações dentro do plano de carreira.
O próximo ano seguirá sendo sensível no que tange à cibersegurança, tendo em vista a possibilidade real de o home office ser mantido nas organizações.
Trabalhadores remotos se tornam alvos fáceis porque não há investimento em cibersegurança em casa, como na empresa.
Portanto, é preciso considerar esta área no planejamento do orçamento para 2021, a fim de não expor a organização a riscos desnecessários.
TeleWorld - A tecnologia a favor da saúde e segurança do trabalhador
IPM - Sistemas em cloud computing para a gestão pública
Sankhya - A melhor solução de gestão para o seu negócio
Cavallazzi - Cavallazzi, Andrey, Restanho & Araújo Advocacia Empresarial
CDL Blumenau - Câmara dos Dirigentes Logistas de Blumenau