Quando a Conviso foi fundada, em 2008, desenvolvimento seguro de software era então um tema pouquíssimo abordado. Afinal, nesta época, quando se pensava em desenvolvimento de software, o foco ainda ficava na infraestrutura de TI. Contamos um pouco mais sobre isso em nosso texto que conta a história do AppSecFlow.
Era o início do que hoje conhecemos como a “computação em nuvem”, em que os grandes provedores de cloud começaram a oferecer amplamente o modelo de infraestrutura sob demanda, fazendo com que a aquisição de uma série de produtos computacionais físicos se tornasse exagerada e obsoleta. Este processo foi encabeçado pelos grandes provedores de cloud: AWS, Google, IBM, Microsoft.
Você também pode ouvir a versão em áudio deste artigo:
E foi em meio a este cenário que os gestores de negócios passaram a se preocupar mais com o desenvolvimento de aplicações. Era o processo de Transformação Digital acontecendo de forma mais acelerada do que se tinha visto até então.
Novo cenário
Neste novo cenário, a segurança digital precisou mudar também. Afinal, com o amadurecimento dos controles de segurança em cloud, o cybercrime começou a se focar mais nas aplicações web e mobile, que passaram a representar uma superfície de ataque muito maior e ainda muito vulnerável.
Surgia então uma era com novas técnicas de ataque, com resultados ainda mais desastrosos. O mercado passou a presenciar casos de vazamentos de centenas de milhões de registros – estes, expostos por falhas em software. E foi aí que começou a cair a ficha dos grandes players de que o AppSec deveria se tornar uma disciplina presente na agenda das empresas.
É por isso que sempre destacamos que a história da Conviso se confunde com a história da Segurança de Aplicações no Brasil. Afinal, nós não apenas presenciamos, mas participamos ativamente das pesquisas e desenvolvimento desta área que – embora tão importante – ainda é tão negligenciada no Brasil.
AppSec no Brasil: “Era tudo mato”
Em um podcast sobre a história de AppSec no Brasil, nosso CEO Wagner Elias contou como era o mercado de AppSec quando a Conviso começou: “Era tudo mato”, ele brincou. Afinal, os profissionais ainda não estavam focados em entender como era o desenvolvimento de software e como levar a segurança para esses times.
“Consumimos muita coisa de fora, até por uma questão cultural, essa concepção de que o que vem de fora é melhor do que aqui. Além disso, a cultura de AppSec no Brasil ainda é um tanto falha. A dificuldade com o inglês faz com que tenhamos menos profissionais capacitados do que lá fora”, comenta.
Onde está a AppSec no dia a dia?
Embora o termo “segurança de aplicações” possa parecer novo para pessoas que não trabalham diretamente com tecnologia, a verdade é que as aplicações atualmente exercem um papel integral. Tanto os usuários comuns como empresas e setores variados do governo necessitam delas para trabalho, negócios, estudos, entretenimento, vendas e etc.
Se você já fez compras online, faz movimentações financeiras em seu computador, realiza cursos em plataformas pela internet, o mais provável é que você dependa da segurança de aplicações sem sequer desconfiar.
Mas afinal, como está mercado brasileiro de AppSec atualmente?
Em 2020, a Conviso realizou uma pesquisa com empresas do Brasil inteiro para entender como se encontra atualmente o mercado de AppSec. Foram entrevistados profissionais dos seguintes setores:
- Bancos/Financeiras
- Governo
- Tecnologia
- Educação
- Telecomunicações/Internet
- Saúde/Farmacêutica
- Manufatura
- E-Commerce
Os entrevistados eram, em sua maioria, profissionais ligados ao setor de segurança de informação das empresas, como Gestores de Segurança(CSO/CISO), Gestores de Desenvolvimento, Diretores de Tecnologia(C-Level), Desenvolvedores, Arquitetos/Engenheiros de Software e Analistas de Segurança.
Dos entrevistados, 51,6% afirmaram que há, na empresa, uma área específica de Segurança de Aplicações. Além disso, 50% relataram que as empresas têm um orçamento específico para Segurança de Aplicações.
Sobre DevOps ser uma cultura implementada em suas equipes, 59% relataram que sim, mas apenas 48,5% afirmaram que têm mapeado o nível de risco das aplicações para a organização.
Ainda, dos entrevistados, apenas 12,5% entende que seus times de desenvolvimento possuem conhecimento satisfatório de segurança de aplicação.
54,8% realiza gestão de vulnerabilidades por meio de ferramentas específicas para isso.
Inscreva-se para receber nossa newsletter
Brasil é o mais afetado em por ataques em aplicações web
Em 2020, publicamos um texto em nosso blog com dados disponibilizados pela Statista que mostravam que nosso país foi o mais afetado por ataques em aplicações web em 2019. E isso reflete uma questão cultural muito forte – a de pensar em AppSec de forma reativa, e não preventiva.
Esse problema se tornou ainda mais evidente ao longo de 2020 quando, em meio à pandemia, soubemos de uma série de notícias sobre vulnerabilidades que expuseram dados importantes nos sistemas de instituições governamentais brasileiras.
Por isso, sempre ressaltamos que não há milagres: o caminho para garantir a segurança de aplicações passa primeiramente por uma mudança cultural. É necessário enxergar a segurança de aplicações além da tecnologia e incluir a segurança na rotina diária de uma empresa.
E não são apenas líderes e gestores de grandes empresas que precisam investir mais em segurança de aplicações – uma mudança significativa neste cenário requer também uma mudança cultural entre os próprios profissionais de TI.
Um exemplo: além da linguagem de programação, o programador precisa aprender também sobre segurança para já aprender a construir aplicações seguras. E falar isso para um setor que já trabalha em equipes com prazos já apertados, com déficit de mão de obra é um grande desafio.
A maior dificuldade atualmente é mudar a cultura das empresas para construção de aplicações seguras ao invés de investir apenas em testes de segurança. E esta transformação deve partir dos times de desenvolvimento de software.