[bsa_pro_ad_space id=3 delay=8]

DevSecOps: sensibilização é a chave para segurança em aplicações ágeis

Para muitos desenvolvedores, o treinamento em boas práticas de segurança de aplicações não fez parte de seu desenvolvimento profissional, dificultando a assimilação das ameaças que podem afetar a aplicação

Compartilhar:

Ainda há um longo caminho a seguir no desenvolvimento de softwares mais seguros, porém, a ideia de que os desenvolvedores não ligam para a segurança já se foi há algum tempo. Tenho visto muitas equipes de desenvolvimento mais conscientes das vulnerabilidades que podem afetar a segurança das aplicações e muitos já sabem o que fazer para evitar os problemas de segurança.

 

Porém, se os desenvolvedores estão se preocupando com a segurança, por que os softwares continuam inseguros? A resposta para isso pode estar na falta de sensibilização e processos estruturados. Para muitos desenvolvedores, o treinamento em boas práticas de segurança de aplicações não fez parte de seu desenvolvimento profissional, dificultando a assimilação das ameaças que podem afetar a aplicação.

 

Para a maioria, o que se observa é a ausência de uma iniciativa clara e definida para a promoção da segurança em aplicações que seja fomentado pela diretoria.

 

Essa falta de priorização tem consequências claras no cenário de segurança. Hoje os ataques à camada de aplicativos estão entre as maiores fontes de ameaças, e são um problema sério para as equipes de desenvolvimento e para as empresas. Os departamentos de TI e de segurança também levam parte da culpa por esse problema por não oferecerem aos desenvolvedores processos e ferramentas que permitam inserir a segurança mais cedo no ciclo de desenvolvimento, sem afetar a produtividade.

 

No fundo, o barco é o mesmo. Todos devem estar dentro dele, remando para a mesma direção.

 

A ascensão do DevOps e do DevSecOps

 

O DevOps, cultura de desenvolvimento que busca integrar o desenvolvimento de sistemas e operações de TI para deixar o processo ágil e enxuto, com a implementação de ciclos mais curtos, testes mais rápidos e um maior nível de automação, tem mudado esse cenário, permitindo a criação de softwares mais seguros.

 

Com o processo de desenvolvimento ágil, foi necessário que os processos de segurança no desenvolvimento também se adaptassem, trazendo a cultura de DevSecOps, que consiste no processo de inserir ações de segurança e pontos de controle em algumas etapas do desenvolvimento de aplicações, seguindo a mesma mentalidade ágil.

 

Os resultados do DevSecOps costumam ser satisfatórios para a empresa, uma vez que a ideia é construir aplicações mais resistentes desde o início do ciclo de desenvolvimento, em vez de adicionar recursos de proteção apenas no final, algo que pode ser extremamente custoso – um bug descoberto no período de desenvolvimento é relativamente baixo, porém, seu valor vai aumentando na medida em que o processo de desenvolvimento vai avançando, pois a mobilização das equipes é maior.

 

Porém, isso não é tarefa fácil, pois envolver as equipes de segurança ao processo de desenvolvimento pode causar atritos e desgastes que podem levar ao insucesso dos projetos. E quem perde é a empresa.

 

Cultura de segurança para sintonizar as equipes

 

Adotar uma cultura de DevOps e DevSecOps no desenvolvimento de aplicações ainda é um desafio, pois transformam o processo de desenvolvimento em algo multidisciplinar. Apesar disso, os desenvolvedores continuam assumindo a responsabilidade por todo o ciclo de desenvolvimento do software, da codificação à produção.

 

Para garantir aplicações mais seguras, portanto, não basta integrar equipes, é preciso que a empresa esteja disposta a investir em uma cultura de segurança, envolvendo as áreas de negócio, desenvolvimento e TI, de forma a instituir a segurança como um requisito do negócio, não apenas um recurso adicional. Sem isso, o atrito entre o time de desenvolvimento e a área de segurança continuará, uma vez que ninguém gosta de ter seu trabalho e intelecto criticado em um relatório colorido de alguma consultoria.

 

Culpar os desenvolvedores pelas falhas de segurança do software não vai ajudar muita coisa. O desenvolvimento da cultura de segurança apoiado pela diretoria, seguido por treinamentos específicos e estruturação de um processo contínuo de verificações reduz o atrito e torna a segurança transparente durante o ciclo de desenvolvimento.

 

*Por Leonardo Militelli, CEO da iBLISS

Conteúdos Relacionados

Security Report | Overview

Ciberameaças às nuvens públicas crescem 93% em 2024, aponta relatório

Malware (41%), phishing (36%) e ransomware (32%) foram os que mais cresceram, atingindo principalmente ativos e armazenamento em Nuvem...
Security Report | Overview

Brasil é segundo maior alvo de novo malware contra carteiras digitais

Kaspersky já bloqueou mais de 100 vezes o novo ScarletStealer no Brasil em 2024, também conhecido como “CryptoSwap” por outros...
Security Report | Overview

Qual é a melhor estratégia de defesa cibernética para PMEs?

As pequenas e médias empresas estão se consolidando crescentemente como um dos alvos preferidos do cibercrime, pela facilidade e pelos...
Security Report | Overview

Era da desconfiança: como Zero Trust e Privileged Access Management bloqueiam ações criminosas?

Apesar de haver uma sensação de cuidado e Segurança com o controle de acesso, pesquisas mostram que apenas 20% das...