DevSecOps: sensibilização é a chave para segurança em aplicações ágeis

Para muitos desenvolvedores, o treinamento em boas práticas de segurança de aplicações não fez parte de seu desenvolvimento profissional, dificultando a assimilação das ameaças que podem afetar a aplicação

Compartilhar:

Ainda há um longo caminho a seguir no desenvolvimento de softwares mais seguros, porém, a ideia de que os desenvolvedores não ligam para a segurança já se foi há algum tempo. Tenho visto muitas equipes de desenvolvimento mais conscientes das vulnerabilidades que podem afetar a segurança das aplicações e muitos já sabem o que fazer para evitar os problemas de segurança.

 

Porém, se os desenvolvedores estão se preocupando com a segurança, por que os softwares continuam inseguros? A resposta para isso pode estar na falta de sensibilização e processos estruturados. Para muitos desenvolvedores, o treinamento em boas práticas de segurança de aplicações não fez parte de seu desenvolvimento profissional, dificultando a assimilação das ameaças que podem afetar a aplicação.

 

Para a maioria, o que se observa é a ausência de uma iniciativa clara e definida para a promoção da segurança em aplicações que seja fomentado pela diretoria.

 

Essa falta de priorização tem consequências claras no cenário de segurança. Hoje os ataques à camada de aplicativos estão entre as maiores fontes de ameaças, e são um problema sério para as equipes de desenvolvimento e para as empresas. Os departamentos de TI e de segurança também levam parte da culpa por esse problema por não oferecerem aos desenvolvedores processos e ferramentas que permitam inserir a segurança mais cedo no ciclo de desenvolvimento, sem afetar a produtividade.

 

No fundo, o barco é o mesmo. Todos devem estar dentro dele, remando para a mesma direção.

 

A ascensão do DevOps e do DevSecOps

 

O DevOps, cultura de desenvolvimento que busca integrar o desenvolvimento de sistemas e operações de TI para deixar o processo ágil e enxuto, com a implementação de ciclos mais curtos, testes mais rápidos e um maior nível de automação, tem mudado esse cenário, permitindo a criação de softwares mais seguros.

 

Com o processo de desenvolvimento ágil, foi necessário que os processos de segurança no desenvolvimento também se adaptassem, trazendo a cultura de DevSecOps, que consiste no processo de inserir ações de segurança e pontos de controle em algumas etapas do desenvolvimento de aplicações, seguindo a mesma mentalidade ágil.

 

Os resultados do DevSecOps costumam ser satisfatórios para a empresa, uma vez que a ideia é construir aplicações mais resistentes desde o início do ciclo de desenvolvimento, em vez de adicionar recursos de proteção apenas no final, algo que pode ser extremamente custoso – um bug descoberto no período de desenvolvimento é relativamente baixo, porém, seu valor vai aumentando na medida em que o processo de desenvolvimento vai avançando, pois a mobilização das equipes é maior.

 

Porém, isso não é tarefa fácil, pois envolver as equipes de segurança ao processo de desenvolvimento pode causar atritos e desgastes que podem levar ao insucesso dos projetos. E quem perde é a empresa.

 

Cultura de segurança para sintonizar as equipes

 

Adotar uma cultura de DevOps e DevSecOps no desenvolvimento de aplicações ainda é um desafio, pois transformam o processo de desenvolvimento em algo multidisciplinar. Apesar disso, os desenvolvedores continuam assumindo a responsabilidade por todo o ciclo de desenvolvimento do software, da codificação à produção.

 

Para garantir aplicações mais seguras, portanto, não basta integrar equipes, é preciso que a empresa esteja disposta a investir em uma cultura de segurança, envolvendo as áreas de negócio, desenvolvimento e TI, de forma a instituir a segurança como um requisito do negócio, não apenas um recurso adicional. Sem isso, o atrito entre o time de desenvolvimento e a área de segurança continuará, uma vez que ninguém gosta de ter seu trabalho e intelecto criticado em um relatório colorido de alguma consultoria.

 

Culpar os desenvolvedores pelas falhas de segurança do software não vai ajudar muita coisa. O desenvolvimento da cultura de segurança apoiado pela diretoria, seguido por treinamentos específicos e estruturação de um processo contínuo de verificações reduz o atrito e torna a segurança transparente durante o ciclo de desenvolvimento.

 

*Por Leonardo Militelli, CEO da iBLISS

Conteúdos Relacionados

Security Report | Overview

Girona F.C. forma nova parceria de Cibersegurança em seus sistemas

O clube espanhol de futebol, Girona FC, adota a arquitetura de cibersegurança para proteger seus ambientes digitais
Security Report | Overview

Tentativas de fraudes online atingem quase 60% dos brasileiros, revela pesquisa

Pesquisa revela que mais da metade dos brasileiros caem em golpes; Compras online e Pix concentram a maior quantidade de...
Security Report | Overview

IA agêntica exige CIOs com visão de RH

Artigo trata que IA agêntica surge como “nova colega de trabalho” nas empresas, exigindo dos CIOs uma gestão semelhante à...
Security Report | Overview

Setor de Educação mostra fortalecimento contra o ransomware em estudo

97% da vítimas do segmento recuperaram dados criptografados e pagamentos de resgate caíram drasticamente