Por Ronald Glatz

Administrador de Redes e infraestrutura da Supero Tecnologia

Os ataques cibernéticos aumentaram com a pandemia e no centro do problema estão os programas de segurança de software atuais, que não acompanham o ritmo das ameaças, do desenvolvimento e do home office. 

Somente de janeiro a setembro deste ano, foram mais de 3,4 bilhões de tentativas no país, segundo a Fortinet, líder global em segurança cibernética. 

No terceiro trimestre, a ameaça com mais investidas no Brasil - foram 284 milhões - se aproveitou do uso de softwares sem atualização pelas empresas. 

Esses impactos geram novas tendências, e as organizações precisam estar preparadas para que falhas de segurança não se repitam e 2021 não seja mais um ano de vulnerabilidades. 

Cada vez mais complexas, as aplicações exploradas nesses ataques se apoiam em elementos internos e de parceiros externos, além de serem constantemente ampliadas para suportar novas funcionalidades e operações, o que as fragiliza ao longo do tempo.  

Para piorar o quadro, a pesquisa da Forrester indica que só uma menor parte das organizações está respondendo a esses problemas: apenas 14% das empresas respondentes integram de fato a segurança em todo o ciclo de desenvolvimento de softwares, e as que estão começando a fazê-lo iniciam a integração normalmente pela fase de testes. 

O diagnóstico dessas análises é que, agindo assim, as organizações terão dificuldade de manter seguras suas aplicações. 

Sem o amplo uso de automação e ferramentas, bem como processos e pessoas engajadas, é inviável  construir e manter softwares antecipando falhas. 

Como se isso não fosse o bastante, 2020 trouxe uma variável a mais nessa equação: o home office e toda a cascata de vulnerabilidades que veio com ele.

Nesse contexto, é possível observar quais tendências em segurança de softwares devem se desenhar e ganhar tração junto às organizações no novo ano que se aproxima:

1. A primeira delas é a implementação de testes de segurança mais cedo no ciclo de desenvolvimento. É preciso criar esforços redobrados para identificar e lidar com problemas de segurança em software precoce e facilmente, durante todo o desenvolvimento. Essa abordagem está em estreita consonância com a adoção de práticas que aproximam os desenvolvedores de software (Devs) e os operadores do software/administradores do sistema (Ops). Ela ajudará o time de segurança a ganhar consciência de que nem todos os problemas serão resolvidos antes do desenvolvimento e a fazer com que desenvolvedores vejam a segurança como responsabilidade deles também.

2. A segunda tendência é automatizar os testes. Substituir a governança manual pela automação diminuirá vulnerabilidades e educará os desenvolvedores em tempo real, pois quanto mais testes e mais precoces eles forem, mais rapidamente as falhas são reparadas e por quem escreveu o código. 

3. Também já se percebem mais investimentos em SCA – Software Composition Analysis -, que não apenas identifica vulnerabilidades em softwares de código aberto, como recomenda maneiras de remediá-las, permitindo que desenvolvedores as implementem com apenas um clique. Apesar de requerer alto nível de confiança na ferramenta, construí-la pode ser mais uma maneira de escalar o desenvolvimento com segurança. Mas, para isso, será fundamental fornecer aos desenvolvedores um guia sobre quando aceitar as recomendações da ferramenta ou quando buscar uma aprovação adicional.

4. Por último, é preciso ter na equipe desenvolvedores campeões em segurança. Eles serão os pontos de referência do time, oferecendo conselhos e ajuda na resolução de problemas, mas também fazendo a ponte de contato com a equipe de segurança. No entanto, as empresas não devem ter a ilusão de encontrar esse profissional completamente pronto no mercado. Segurança é notoriamente um tema negligenciado nos cursos de graduação da área, sendo bem conhecido o gap em boas práticas de segurança em desenvolvimento. Tudo indica que o cenário forçará as empresas a assumir parte da demanda por educação da força de trabalho e a desenvolver essas skills, priorizando treinamentos e capacitações dentro do plano de carreira. 

O próximo ano seguirá sendo sensível no que tange à cibersegurança, tendo em vista a possibilidade real de o home office ser mantido nas organizações.

Trabalhadores remotos se tornam alvos fáceis porque não há investimento em cibersegurança em casa, como na empresa. 

Portanto, é preciso considerar esta área no planejamento do orçamento para 2021, a fim de não expor a organização a riscos desnecessários.