Um dos grandes desafios no mercado de Tecnologia da Informação é aplicar valores culturais de Cibersegurança nos processos de desenvolvimento. Isso tem exigido cada vez mais a cooperação entre os times de DevOps e de SI, especialmente nos momentos de montagem de das aplicações com funcionalidades vindas de fora. Apesar de ser uma demanda levantada já a algum tempo, percebe-se que pouco se avançou na direção da aproximação.
Rodrigo Rosa, Gerente de Defesa Cibernética na Petrobras, entende que a obrigação da Segurança nesse desafio será promover continuidade nas funções de proteção dos desenvolvedores, criando uma Cultura de Cibersegurança entre os colaboradores dessa área.
“Os nossos paradigmas precisam mudar também, indo além de apenas encaixar parâmetros e valores dentro de um modelo antigo. Ou seja, não adianta mais entregar um relatório gigantesco de correções para o desenvolvedor. Precisamos parar de perder tempo com o modelo de Segurança verificando tudo. Isso vai nos fazer perder velocidade e não acompanharemos o método ágil”, disse o executivo durante painel sobre desenvolvimento seguro, organizado pela TVSecurity.
Já o Gerente de Arquitetura e Engenharia de Cyber Security na B3, Guilherme Lima, lembra que o desenvolvimento de Cultura em Cyber deve, sim, começar nos meios produtivos para manter o core da empresa intacto. Mas isso precisa contar com o apoio dos executivos, a fim de gerar compartilhamento de funções de Segurança e, assim, entregar um produto de maneira ágil, sem sobrecarregar os times ou aumentar os níveis de risco.
“O primeiro passo para contar com projetos seguros é garantir que a Cultura de Segurança esteja sedimentada, não só nos desenvolvedores, mas em toda cadeia de criação de um produto. Todos têm que ser responsáveis pela segurança e se incomodar quando algo não está certo”, afirmou Lima em entrevista à Security Report.
Para ele, quando essa coordenação acontece, o atrito entre as partes diminui e, com o tempo, percebe-se o valor agregado em redução de riscos, eficiência dos times e melhoria da qualidade. Além disso, o time de desenvolvimento perde menos tempo corrigindo vulnerabilidades no final do projeto e passa a ter menor dependência nos times de Segurança.
Lima, inclusive, já vê a comunidade de desenvolvedores se envolvendo nas discussões de Segurança da Informação, especialmente diante do avanço dos ataques cibernéticos e das soluções de SI fazendo parte do processo de DevOps.
“Este ferramental é essencial hoje, porque não há como fazer desenvolvimento com entregas rápidas e seguras sem ter bons equipamentos de segurança no pipeline de criação. Por outro lado, também não adianta ter o ferramental e não ter a cultura de SI bem sedimentada. Tudo começa com a cultura”.
Existem vários itens que podem ser abordados para proteger os dados dos sistemas de desenvolvimento. Lima cita que os mais importantes são técnicas de criptografia, tokenização, anonimização e ofuscação. Assim, a designação de pessoal para cumprir responsabilidades de Segurança e Privacidade dentro dos times de development é parte importante de um processo maduro.