Segurança de Aplicação

Muito além de legislação e tecnologia, Segurança de Aplicações envolve também mudanças culturais

É verdade que empresas de desenvolvimento de software devem priorizar a segurança e que precisam, sim, levar em consideração as regulamentações e leis acerca de segurança de dados. Também é verdade que antecipar os riscos de vazamentos é essencial para a continuidade do negócio. No entanto, na Conviso defendemos que a segurança de aplicações deve ser um investimento realizado não apenas para entrar em conformidade com a legislação – e sim, por uma questão de ética e boas práticas, e é claro – como uma forma de oferecer serviços e produtos mais seguros para o consumidor.

Afinal, garantir a segurança de aplicações significa investir não apenas em proteção – mas também na reputação e longevidade da empresa.

Você também pode ouvir a versão em áudio deste texto:

Com a chegada da LGPD – Lei Geral de Proteção de Dados, muitas empresas passaram a buscar consultorias e ferramentas para ficar em conformidade com a legislação. 

No entanto, antes mesmo de entrarmos em detalhes sobre as legislações existentes e que contemplam AppSec, precisamos adiantar que não há milagres: o caminho para garantir a segurança de aplicações passa primeiramente por uma mudança cultural. É necessário enxergar a segurança de aplicações além da tecnologia. É necessário incluir a segurança na rotina diária de uma empresa.

O que é a Privacidade por Design?

Quando abordamos a privacidade por design, precisamos entender que ela compreende a incorporação de mecanismos que garantam a privacidade e segurança dos dados pessoais ao longo de todo o processo de desenvolvimento.

O conceito se refere a uma abordagem cujo objetivo é garantir a privacidade do usuário ao longo de todo o ciclo de vida de uma aplicação. O termo foi mencionado pela primeira vez na década de 1990 pela Dra. Ann Cavoukian.

Em um sentido mais amplo, o conceito de Privacy by Design defende que a segurança da privacidade não deve ser fundamentada apenas no cumprimento das legislações por parte das empresas, e sim, que deve ser um requisito básico de operações – por questões principalmente éticas.

Privacidade por Design significa implementar a segurança de forma proativa, e não reativa. O conceito também envolve estabelecer a privacidade como configuração padrão e como parte do projeto de arquitetura da segurança de software – ou seja, sem que o usuário precise fazer maiores esforços neste sentido. 

A privacidade como Direito Humano 

O direito à privacidade precede as preocupações com tecnologias que abordamos em nosso texto em que contamos a história do AppSec. Tanto a Declaração Universal dos Direitos Humanos, quanto a Constituição Federal de 1988 já contemplam o direito do cidadão à privacidade.

Em ambos os exemplos, ela é colocada como um direito inalienável e intransferível do cidadão. Afinal, falar de privacidade é muito mais do que falar de conformidade com leis –  é também uma discussão de ética. 

O que a LGPD diz sobre Segurança de Aplicações? 

Já no Brasil, entrou em vigor em 2020 a LGPD (Lei Geral de Proteção de Dados) a partir de agosto de 2020.

Não há uma citação direta sobre o uso de privacidade por design no texto da LGPD. No entanto, o Capítulo 7, por sua vez, aborda a Segurança, Boas Práticas e Governança. Dentro dele, o artigo 46 determina que devem ser adotadas medidas técnicas, de segurança e administrativas que venham a garantir a segurança dos dados dos usuários contra acessos não autorizados. 

O que podemos concluir é que quando uma empresa se certifica de construir aplicações seguras, e mantém os dados dos usuários protegidos,  ela já está de acordo com o cumprimento da LGPD. 

E embora isso possa parecer simples, não é – exige uma inclusão da segurança no dia a dia dos times, em todas as etapas do desenvolvimento. Exige também um cuidado com o investimento em treinamentos, melhorias e estudos constantes.

AppSec – muito além da tecnologia, é também uma questão cultural

As recentes notícias sobre vulnerabilidades que expuseram dados importantes nos sistemas de instituições governamentais brasileiras são um reflexo da cultura da segurança cibernética no país. Além disso, uma pesquisa da Statista revelou que o Brasil foi o país da América Latina mais afetado por ataques a aplicações em 2019. 

E embora a chegada da Lei Geral de Proteção de Dados possa impulsionar muitas empresas a buscar consultorias e ferramentas para estarem em conformidade com a legislação, não há milagres: o caminho para garantir a segurança de aplicações passa primeiramente por uma mudança cultural. 

De acordo com Wagner Elias, nosso CEO, é necessário enxergar a segurança de aplicações além da tecnologia e incluí-la na rotina diária de uma empresa. “ É uma mudança cultural que envolve 15 práticas, e não apenas a prática de teste, como o mercado costuma abordar. É um problema global”, analisa.

Para o especialista, o maior desafio é mudar a cultura das empresas para construção de aplicações seguras – e essa transformação deve partir dos times de desenvolvimento de software. O que isso significa, na prática, é que os desenvolvedores precisam estar conscientes acerca de questões de segurança, mas também precisam ser treinados continuamente em práticas e tecnologias modernas. 

“Um exemplo prático é o papel do programador – além da linguagem de programação, ele deveria aprender também sobre segurança para já pensar em construir aplicações seguras – mas convencer times que normalmente já trabalham com prazos apertados sobre a importância de se aplicar a segurança desde o início do desenvolvimento é um grande desafio”, afirma Elias.

Escassez de profissionais

Além da questão cultural, outro desafio enfrentado pelo mercado de segurança de aplicações é a escassez de profissionais focados em segurança.

A Conviso está com vagas abertas para profissionais de todo o país que tenham experiência em desenvolvimento de software e queiram entrar na área de segurança de aplicações.

O mercado é extremamente carente de profissionais com esse perfil e queremos conhecer potenciais talentos. Então caso você tenha experiência em Segurança de Aplicações ou mesmo sinta afinidade com o tema, não deixe de de cadastrar em nosso banco de talentos. Para inscrever-se, basta clicar na imagem acima.

About author

Articles

Analista de Comunicação na Conviso. Com formação em Jornalismo, tem 10 anos de experiência em produção, edição e estratégia de conteúdo.
Related posts
Code FightersSegurança de Aplicação

Como integrar o Semgrep no CI/CD e enviar os resultados para a Conviso Platform

Atualmente, é uma prática muito comum integrar verificações de segurança durante a fase de…
Read more
Segurança de Aplicação

Impactos Negativos Gerados pela Ausência de Logs e Monitoramento de Segurança

Primeiramente, os logs são registros de atividades gerados também por sistemas, aplicações e…
Read more
Segurança de Aplicação

Dockers e Containers

Containers são soluções cada vez mais populares na indústria de desenvolvimento de software.
Read more

Deixe um comentário