Cultura em Cyber precisa alcançar os desenvolvedores

Tanto membros das equipes de desenvolvimento quanto Líderes de SI concordam que a aproximação entre os dois setores através da Cultura em Cyber é fator fundamental na proteção da cadeia produtiva de softwares e aplicações em 2023

Compartilhar:

Um dos grandes desafios no mercado de Tecnologia da Informação é aplicar valores culturais de Cibersegurança nos processos de desenvolvimento. Isso tem exigido cada vez mais a cooperação entre os times de DevOps e de SI, especialmente nos momentos de montagem de das aplicações com funcionalidades vindas de fora. Apesar de ser uma demanda levantada já a algum tempo, percebe-se que pouco se avançou na direção da aproximação.

 

Rodrigo Rosa, Gerente de Defesa Cibernética na Petrobras, entende que a obrigação da Segurança nesse desafio será promover continuidade nas funções de proteção dos desenvolvedores, criando uma Cultura de Cibersegurança entre os colaboradores dessa área.

 

“Os nossos paradigmas precisam mudar também, indo além de apenas encaixar parâmetros e valores dentro de um modelo antigo. Ou seja, não adianta mais entregar um relatório gigantesco de correções para o desenvolvedor. Precisamos parar de perder tempo com o modelo de Segurança verificando tudo. Isso vai nos fazer perder velocidade e não acompanharemos o método ágil”, disse o executivo durante painel sobre desenvolvimento seguro, organizado pela TVSecurity.

 

Já o Gerente de Arquitetura e Engenharia de Cyber Security na B3, Guilherme Lima, lembra que o desenvolvimento de Cultura em Cyber deve, sim, começar nos meios produtivos para manter o core da empresa intacto. Mas isso precisa contar com o apoio dos executivos, a fim de gerar compartilhamento de funções de Segurança e, assim, entregar um produto de maneira ágil, sem sobrecarregar os times ou aumentar os níveis de risco.

 

“O primeiro passo para contar com projetos seguros é garantir que a Cultura de Segurança esteja sedimentada, não só nos desenvolvedores, mas em toda cadeia de criação de um produto. Todos têm que ser responsáveis pela segurança e se incomodar quando algo não está certo”, afirmou Lima em entrevista à Security Report.

 

Para ele, quando essa coordenação acontece, o atrito entre as partes diminui e, com o tempo, percebe-se o valor agregado em redução de riscos, eficiência dos times e melhoria da qualidade. Além disso, o time de desenvolvimento perde menos tempo corrigindo vulnerabilidades no final do projeto e passa a ter menor dependência nos times de Segurança.

 

Lima, inclusive, já vê a comunidade de desenvolvedores se envolvendo nas discussões de Segurança da Informação, especialmente diante do avanço dos ataques cibernéticos e das soluções de SI fazendo parte do processo de DevOps.

 

“Este ferramental é essencial hoje, porque não há como fazer desenvolvimento com entregas rápidas e seguras sem ter bons equipamentos de segurança no pipeline de criação. Por outro lado, também não adianta ter o ferramental e não ter a cultura de SI bem sedimentada. Tudo começa com a cultura”.

 

Existem vários itens que podem ser abordados para proteger os dados dos sistemas de desenvolvimento. Lima cita que os mais importantes são técnicas de criptografia, tokenização, anonimização e ofuscação. Assim, a designação de pessoal para cumprir responsabilidades de Segurança e Privacidade dentro dos times de development é parte importante de um processo maduro.

 

Conteúdos Relacionados

Security Report | Destaques

De CISO para CISO: 8 pilares para mudar a Cibersegurança ainda em 2025

Na visão de Bruno Moraes, fundador do Cyber Horizon Group, o mercado brasileiro precisa virar a chave da Cibersegurança. Em...
Security Report | Destaques

Gerente do Banco da Amazônia é preso por facilitar fraude cibernética

O mandado foi executado em Santa Inês, no Maranhão, contra um suspeito de facilitar a fraude de R$ 107 milhões...
Security Report | Destaques

Operação conjunta prende dois novos envolvidos no incidente da C&M

A Polícia Federal, juntamente com o Ministério Público de São Paulo, deflagraram a operação Magna Fraus em Goiás e no...
Security Report | Destaques

“A linguagem de risco consiste em dinheiro”, diz CEO da Qualys

Durante a abertura do Cyber Risk Conference Brazil, o CEO da Qualys, Sumedh Thakar, defendeu que traduzir o risco cibernético...