Skip to main content Link Menu Expand (external link) Document Search Copy Copied
Página Principal

Segurança é um trabalho de todos. Partindo dessa premissa, precisamos garantir que os nossos times estão recebendo o treinamento devido e adequado às necessidades da empresa e projetos inseridos, criando assim a conscientização necessária em todos os indivíduos.

Para desenvolver softwares e aplicativos altamente seguros, independente da metodologia utilizada, devemos considerar a privacidade e definição dos requisitos de segurança, constantemente atualizados, idealmente desde o levantamento de requisitos e design do produto.

Iniciando com a Modelagem de Ameaças, definição de nível mínimo aceitável de segurança, compliance, uso de criptografia, restrições de design e arquitetura, gestão de risco no uso de componentes externos/terceiros, ferramentas aprovadas e demais passos necessários para que o time tenha conhecimento dos aspectos de risco e segurança no âmbito corporativo, passando pela visão macro até chegar no nível de APIs e componentes.

Atualmente, uma das formas utilizadas pelas empresas para esse tipo de programa é conhecido como “Security Champion”, visto pelo Gartner com o intuito “aprimorar a entrega e a incorporação de mensagens de segurança essenciais em organizações geograficamente e estruturalmente dispersas” visando auxiliar os líderes da gestão de segurança a “obter e manter o suporte empresarial e maximizar a eficácia do programa.”

Complementando o programa e visando uma prática deliberada de segurança em código, temos também o uso de plataformas voltadas para esse assunto, que permitem nossos times de Engenharia de Software, praticarem de maneira guiada a criação e correção de códigos, permitindo que estes profissionais tenham acesso a ambientes controlados, o mais próximo da realidade, como exemplo, a Secure Code Warrior, SecureFlag e outros.

Portanto, podemos perceber que a conscientização de todos os colaboradores, técnicos ou não, inicia um excelente programa de segurança, mas não podemos deixar de passar por todas as áreas de riscos tecnológicos, privacidade, segurança de aplicações e sistemas, até chegarmos à parte prática de segurança de códigos, proporcionando uma experiência realística aos profissionais diretamente ligados à construção dos sistemas utilizados.