Segurança de Aplicação

O mercado de segurança de aplicações no Brasil

Quando a Conviso foi fundada, em 2008, desenvolvimento seguro de software era então um tema pouquíssimo abordado. Afinal, nesta época, quando se pensava em desenvolvimento de software, o foco ainda ficava na infraestrutura de TI. Contamos um pouco mais sobre isso em nosso texto que conta a história do AppSecFlow.

Era o início do que hoje conhecemos como a “computação em nuvem”, em que os grandes provedores de cloud começaram a oferecer amplamente o modelo de infraestrutura sob demanda, fazendo com que a aquisição de uma série de produtos computacionais físicos se tornasse exagerada e obsoleta. Este processo foi encabeçado pelos grandes provedores de cloud: AWS, Google, IBM, Microsoft.

Você também pode ouvir a versão em áudio deste artigo:

E foi em meio a este cenário que os gestores de negócios passaram a se preocupar mais com o desenvolvimento de aplicações. Era o processo de  Transformação Digital acontecendo de forma mais acelerada do que se tinha visto até então.

Novo cenário

Neste novo cenário, a segurança digital precisou mudar também. Afinal, com o amadurecimento dos controles de segurança em cloud, o cybercrime começou a se focar mais nas aplicações web e mobile, que passaram a representar uma superfície de ataque muito maior e ainda muito vulnerável.

Surgia então uma era com novas técnicas de ataque, com resultados ainda mais desastrosos. O mercado passou a presenciar casos de vazamentos de centenas de milhões de registros – estes, expostos por falhas em software. E foi aí que começou a cair a ficha dos grandes players de que o AppSec deveria se tornar uma disciplina presente na agenda das empresas.

É por isso que sempre destacamos que a história da Conviso se confunde com a história da Segurança de Aplicações no Brasil. Afinal, nós não apenas presenciamos, mas participamos ativamente das pesquisas e desenvolvimento desta área que – embora tão importante – ainda é tão negligenciada no Brasil.

AppSec no Brasil: “Era tudo mato”

Em um podcast sobre a história de AppSec no Brasil, nosso CEO Wagner Elias contou como era o mercado de AppSec quando a Conviso começou: “Era tudo mato”, ele brincou. Afinal, os profissionais ainda não estavam focados em entender como era o desenvolvimento de software e como levar a segurança para esses times. 

“Consumimos muita coisa de fora, até por uma questão cultural, essa concepção de que o que vem de fora é melhor do que aqui. Além disso, a cultura de AppSec no Brasil ainda é um tanto falha. A dificuldade com o inglês faz com que tenhamos menos profissionais capacitados do que lá fora”, comenta. 

Onde está a AppSec no dia a dia?

Embora o termo “segurança de aplicações” possa parecer novo para pessoas que não trabalham diretamente com tecnologia, a verdade é que as aplicações atualmente exercem um papel integral. Tanto os usuários comuns como empresas e setores variados do governo necessitam delas para trabalho, negócios, estudos, entretenimento, vendas e etc. 

Se você já fez compras online, faz movimentações financeiras em seu computador, realiza cursos em plataformas pela internet, o mais provável é que você dependa da segurança de aplicações sem sequer desconfiar. 

Mas afinal, como está mercado brasileiro de AppSec atualmente?

Em 2020, a Conviso realizou uma pesquisa com empresas do Brasil inteiro para entender como se encontra atualmente o mercado de AppSec. Foram entrevistados profissionais dos seguintes setores: 

  • Bancos/Financeiras
  • Governo
  • Tecnologia
  • Educação
  • Telecomunicações/Internet
  • Saúde/Farmacêutica
  • Manufatura
  • E-Commerce

Os entrevistados eram, em sua maioria, profissionais ligados ao setor de segurança de informação das empresas, como Gestores de Segurança(CSO/CISO), Gestores de Desenvolvimento, Diretores de Tecnologia(C-Level), Desenvolvedores, Arquitetos/Engenheiros de Software e  Analistas de Segurança. 

Dos entrevistados, 51,6% afirmaram que há, na empresa, uma área específica de Segurança de Aplicações. Além disso, 50% relataram que as empresas têm um orçamento específico para Segurança de Aplicações.

Sobre DevOps ser uma cultura implementada em suas equipes, 59% relataram que sim, mas apenas 48,5% afirmaram que têm mapeado o nível de risco das aplicações para a organização.

Ainda, dos entrevistados, apenas 12,5% entende que seus times de desenvolvimento possuem conhecimento satisfatório de segurança de aplicação.

54,8% realiza gestão de vulnerabilidades por meio de ferramentas específicas para isso.

Inscreva-se para receber nossa newsletter

Brasil é o mais afetado em por ataques em aplicações web

Em 2020, publicamos um texto em nosso blog com dados disponibilizados pela Statista que mostravam que nosso país foi o mais afetado por ataques em aplicações web em 2019. E isso reflete uma questão cultural muito forte – a de pensar em AppSec de forma reativa, e não preventiva.

Esse problema se tornou ainda mais evidente ao longo de 2020 quando, em meio à pandemia, soubemos de uma série de notícias sobre vulnerabilidades que expuseram dados importantes nos sistemas de instituições governamentais brasileiras. 

Por isso, sempre ressaltamos que não há milagres: o caminho para garantir a segurança de aplicações passa primeiramente por uma mudança cultural. É necessário enxergar a segurança de aplicações além da tecnologia e incluir a segurança na rotina diária de uma empresa. 

E não são apenas líderes e gestores de grandes empresas que precisam investir mais em segurança de aplicações – uma mudança significativa neste cenário requer também uma mudança cultural entre os próprios profissionais de TI.

Um exemplo: além da linguagem de programação, o programador precisa aprender também sobre segurança para já aprender a construir aplicações seguras. E falar isso para um setor que já trabalha em equipes com prazos já apertados, com déficit de mão de obra é um grande desafio.

A maior dificuldade atualmente é mudar a cultura das empresas para construção de aplicações seguras ao invés de investir apenas em testes de segurança. E esta transformação deve partir dos times de desenvolvimento de software.

About author

Articles

Analista de Comunicação com foco em produto na Conviso. Com formação em Jornalismo, tem 09 anos de experiência em produção, edição e estratégia de conteúdo.
Related posts
Segurança de Aplicação

Por que APIs podem ser um alto risco para as empresas

Quando olhamos para o mundo de desenvolvimento e sua evolução nos últimos anos, podemos dizer que…
Read more
MobileSegurança de AplicaçãoSem categoria

3 serviços de AppSec que não podem ser negligenciados no fim de ano

2020 tem sido um ano atípico, mas mesmo em anos incomuns, algo é certeiro: na correria de fim de…
Read more
Segurança de Aplicação

Quais temas um treinamento de segurança deve contemplar?

O mercado de desenvolvimento parece estar se conscientizando cada vez mais com relação à…
Read more

Deixe um comentário