A cibersegurança começa no design

Hoje em dia, a questão da cibersegurança não é mais sobre “se” o seu negócio pode ser atacado, mas “quando” ele será. Companhias que não investem em cibersegurança estão ignorando o cenário atual e colocando em risco suas finanças e seus dados, fato este que tem repercussões graves no momento de uma invasão. Por isso, lidar com a segurança dos seus ativos digitais é algo que precisa ser feito desde os primeiros passos de qualquer iniciativa de TIC. Esse conceito é conhecido como “secure by design”.

Uma boa analogia para entender o secure by design é a de um espaço físico real. Quando se pensa na proteção de um prédio, por exemplo, o tempo ideal para se avaliar estratégias de segurança é no desenho inicial do projeto. Nesse momento você pode determinar como serão as entradas ou que tipo de monitoramento estará em funcionamento e brechas poderão ser eliminadas e corrigidas. De modo similar, quando se desenha um software, essa é a melhor etapa para se pensar em cibersegurança, inserindo ela diretamente na arquitetura do sistema.

Pensar em cibersegurança desde o começo é fundamental, principalmente tendo em vista que a maioria dos problemas de softwares, inclusive de proteção, são originados nos primeiros estágios de desenvolvimento. Em 2013, pesquisadores estadunidenses levantaram dados do Computer Emergency Readiness Team (CERT) mostrando que a maioria dos ataques bem-sucedidos exploraram vulnerabilidades criadas durante o requerimento, o design e a elaboração das linhas de códigos dos programas. Outro dado apresentado por eles, esse advindo da Microsoft, é o de que 50% dos problemas de segurança de softwares tem raízes em falhas de design.

Tentar corrigir essas falhas em outras etapas do processo, assim como tentar reconstruir um prédio uma vez que ele já esteja em funcionamento, é uma tarefa bem mais complexa e cara. Investir em encontrar e eliminar tais brechas cedo pode ser até 150 vezes mais barato do que depois que o software já estiver em campo. Mesmo assim, a maioria dos problemas somente são detectados na fase de testes ou durante o uso, tanto por empresas especializadas quanto por ciber-atacantes.

Nem sempre é possível começar do zero, porém, e as empresas, sejam fornecedoras ou clientes, normalmente já possuem um sistema legado em funcionamento. A questão é que muitas vezes esse legado não está preparado para o cenário de alta conectividade atual, o que aumenta os riscos – e os custos – do seu uso. A adaptação de projetos que foram pensados para trabalhar isoladamente a uma rede informacional de nível empresarial expõe falhas de segurança que não foram percebidas pelos designers.

A necessidade de investir para aprimorar esses sistemas antigos leva a cibersegurança a ser aplicada somente à posteriori, e, pior, isso pode levar a um círculo vicioso já que os investimentos continuam a ser realizados apenas tardiamente. Apesar desse fato, sistemas legados podem ser aprimorados já com o conceito de secure by design em mente. Cada atualização é uma oportunidade para recomeçar o modo de pensar a segurança.

O essencial para implementar uma prática de secure by design envolve então não apenas uma questão técnica, de garantir a segurança do código utilizado, mas também o processo de decisão que envolve a resolução dessas questões. Isso passa por uma iniciativa da gestão para seguir o curso e garantir que a cibersegurança esteja envolvida em todas as etapas desde o princípio. Trata-se de uma questão de cultura da empresa e dos desenvolvedores.

Para isso, é preciso que o valor percebido da cibersegurança a coloque antes do fim do ciclo do desenvolvimento. Se apenas as ameaças mais graves envolvem altos custos para uma empresa, e se esses ataques são entendidos como raros, os executivos poderão entender como mais efetivo lidar com essas questões conforme elas são descobertas na implementação.

No mundo atual, no entanto, depois de diversos grandes ataques a instituições públicas e privadas de todos os portes, o valor percebido da cibersegurança está aumentando. Em uma pesquisa feita pela Cisco com mais de 1.000 executivos de nível de diretoria, cerca de 28% foram identificados como um grupo que entende que pode aprimorar a cibersegurança por meio da transformação digital. Os “secure digitizers”, como foram chamados, identificam pontos falhos nas tecnologias que utilizam e as substituem por outras que integram a cibersegurança desde o princípio em uma taxa superior à dos outros executivos. Um percentual de 54% deles disse “considerar as implicações de cibersegurança de um novo projeto ou iniciativa de negócio antes de iniciarmos o projeto’”, contra 30% daqueles fora deste grupo.

O resultado final desse tipo de política, assim como está no primeiro parágrafo desse texto, não é uma segurança perfeita para nunca sofrer um ataque cibernético, já que isso é irreal nos dias atuais. O que o secure by design fornece é uma defesa bem estabelecida e a capacidade de aprimoramentos contínuos de segurança, pontos estratégicos fundamentais para o desenvolvimento do seu software, rede ou sistema.

No Brasil muitas empresas que desenvolvem software se utilizam do conceito secure by the use of trusted componentes e infraestrutura ao invés de secure by design. Tais práticas não são mutuamente exclusivas, mas ao invés, um balanço de ambas em aplicações seria recomendável.

Para saber mais e se aprofundar no assunto, clique aqui.

Leia mais:
A Necessária Evolução da Cibersegurança
IoT e seus desafios de segurança



Sign up to our list and receive exclusive content.

* indicates required