Segurança é um atributo importante para a qualidade dentro de um contexto de arquitetura de software e, para tal, precisa ser priorizada. Mas como fazer isso, na prática? Quais os desafios envolvidos nesse processo? E quais são as ferramentas e referências que podem auxiliar? Estes e outros tópicos foram abordados pelo Security Engineer e Cyber Defense Specialist do Itaú Unibanco, Erick Belluci Tedeschi, e pelo nosso CEO, Wagner Elias, em um webinar da Conviso. O evento online e gratuito aconteceu em novembro de 2022.
Ao longo do encontro, Erick e Wagner abordaram a arquitetura como uma das responsabilidades dos desenvolvedores. “O dev tem que conhecer arquitetura”, afirmou Wagner. “É comum que quem tem background em desenvolvimento veja a segurança apenas como algo associado a software, mas é importante ressaltar que a arquitetura faz parte de tudo isso”, complementou. Na sequência, abordaram também a importância da documentação na arquitetura, algo ainda visto com receio pelos desenvolvedores.
Quem é responsável pela segurança de arquitetura?
De acordo com os especialistas, um desafio do mercado é lidar com o falso mito de que arquitetura não é responsabilidade dos programadores. Wagner citou ainda o conceito de arquitetura de software de acordo com um dos maiores autores sobre o tema, Martin Fowler, que afirma justamente que arquitetura é a troca de conhecimento de todos os componentes que compõem o software.
Erick comentou ainda sobre novas formas de abordar o tema dentro de empresas. “Arquitetura normalmente é responsabilidade de mais de uma área, não só do time de segurança, e por isso hoje muitas empresas têm inclusive um time de Foundation, que é quem vai fazer o esqueleto, desenhar a arquitetura-alvo ou de referência para que outros times sigam. Isso é pensado antes de qualquer linha de código”, comentou Erick.
A importância da modelagem de ameaças
Erick e Wagner reforçaram ainda a importância da modelagem de ameaças. “Todas as tomadas de decisões para tornar as arquiteturas mais resilientes e seguras são baseadas em análises de risco, por isso a modelagem é fundamental”, justificou o CEO da Conviso. Erick acrescentou ainda que a modelagem ajuda a dar visibilidade para o time. “É um passo muito importante, e quando você está inserido dentro de um time, é essencial que o time conheça para ajudar no entendimento de mapear as ameaças e hierarquizá-las”, explicou.
Ao final do encontro, Erick deu algumas dicas sobre quem quer aprender mais sobre o tema: ouvir podcasts, palestras no YouTube, participar de eventos e sempre buscar se aprimorar e buscar mais conhecimento. “Uma das coisas que sempre pergunto para candidatos a uma vaga na empresa é sobre como eles se atualizam, pois isso é muito importante”.
