Já dissemos É mais barato ser proativo que investir na segurança do software durante o seu desenvolvimento é a opção mais prudente e econômica para as empresas. Isso porque deixar para tomar uma atitude quanto à segurança depois que ocorre um incidente, seja um ataque hacker ou mesmo um vazamento inesperado de dados, pode custar a própria credibilidade da empresa, patrimônio mais valioso do empreendedor.
Quando a busca pelas possíveis vulnerabilidades do sistema ocorre durante a sua construção muita dor de cabeça pode ser evitada lá na frente. Mas, apesar desta ser uma lógica simples, muitos empreendedores ainda preferem economizar com segurança e delegam ao desenvolvedor toda a responsabilidade pelo software.
Listamos a seguir alguns motivos que apontam que contratar um consultor de segurança de software é tão importante quanto contratar um desenvolvedor. O trabalho desses dois profissionais juntos garante, além de um sistema com todas as funcionalidades que você precisa, a segurança imprescindível para o seu negócio.
Garantir a segurança não é função do desenvolvedor
Acreditar que um desenvolvedor tem a obrigação de garantir toda a segurança do sistema é um mito. Pense que o foco do desenvolvedor é construir um software de acordo com as funcionalidades especificadas pelo cliente, sejam elas quais forem. Desenvolvedores não trabalham definindo critérios de segurança, eles têm como objetivo entregar toda funcionalidade solicitada, dentro do prazo previsto. Esperar que um desenvolvedor tenha recursos, expertise e tempo para implementar os recursos de segurança necessários ao seu sistema é um grave erro e pode comprometer todo o seu negócio.
Ainda que o desenvolvedor tenha alguma expertise na construção de um software seguro, ele só fará isso se você puder demonstrar quais são os critérios de segurança necessários para não expor o seu sistema a riscos. Você sabe quais são eles? Sabe quando é que uma funcionalidade deve ser adaptada em prol da segurança? É aí que entra o trabalho do consultor de segurança.
Como o consultor de segurança de software poderá ajudar?
Um consultor de segurança olhará para o seu software como um potencial atacante, buscando todas as vulnerabilidades possíveis e encontrando formas de inserir na arquitetura meios para garantir que todos os princípios de segurança necessários ao seu sistema sejam atendidos. Assegurar princípios como os de Menor Privilégio (limite de acesso por categoria de usuário), Defesa em Profundidade (instalando múltiplas camadas de defesa contra ataques) e Economia de Mecanismo (garantia da simplicidade dos controles de segurança) é função do consultor de segurança. Somar esse trabalho às funções do desenvolvedor é a única maneira de garantir a construção de um sistema realmente seguro.
A vantagem desse tipo de consultoria é a possibilidade de customização das medidas de segurança de acordo com as necessidades da sua empresa. Uma análise detalhada de todos os perfis de uso do sistema dentro do seu contexto é a única forma de saber em quais situações a segurança deve ser priorizada, ainda que isso represente a adaptação de algumas funcionalidades.
Um bom consultor de segurança é capaz de cuidar para que a confidencialidade, integridade e disponibilidade dos dados seja garantida antes que o sistema entre em operação, evitando prejuízos no futuro.
Quer saber mais sobre segurança de softwares? Continue acompanhando nosso blog!
Originalmente postado no Blog da Conviso Application Security – Siga-nos no Twitter @conviso Google+
