Durante muito tempo as equipes de tecnologia da informação tiveram muito trabalho na implementação dos pacotes de gestão empresarial, que são utilizados como apoio na rotina das companhias. Porém, a utilização desses métodos não consome apenas energia dos profissionais de TI, mas também se mostra como um investimento alto. O que gera a discussão sobre o custo e benefício desses pacotes de gestão empresarial. Para definir se vale ou não a pena o investimento em determinados projetos as empresas passaram a adotar o sistema de avaliação ROI (Return on Investiment, ou Retorno sobre o Investimento). Essa metodologia tem por objetivo precisar quanto tempo uma empresa precisa para recuperar os investimentos feitos em equipamentos, projetos ou tecnologias. Dessa forma, consegue responder se determinado investimento é viável ou se deve ser deixado de lado.
Dentro dos setores de tecnologia da informação, o ROI costuma ser utilizado de diversas maneiras. Seja para sustentar as vendas, para defender investimentos em TI diante de diretores resistentes ou na implantação e criação de projetos tecnológicos, como as aplicações.
Segurança de aplicações
No caso da criação de aplicativos, a ineficiência e imprevisibilidade podem acontecer, principalmente quando não se conta com um Ciclo de Vida do Desenvolvimento de Sistemas (SDLC) seguro. Muitas vezes, nas companhias, as equipes de desenvolvimento de aplicativos e os responsáveis pela segurança entram em conflito sobre as melhores alternativas para garantir a proteção de dados e ainda permitir a boa execução de um projeto.
A sincronia entre essas equipes e a utilização de um SDLC seguro permite que uma série de problemas sejam evitados durante o processo e permitindo maior eficiência no desenvolvimento das aplicações. Assim, é possível estabelecer parâmetros para que a equipe de segurança e os desenvolvedores possam trabalhar de maneira colaborativa e visando a qualidade do produto criado.
Nesse caso a equipe de segurança, na fase inicial de um projeto, pode definir quais os requisitos de segurança necessários e traçar uma modelagem de ameaças. Durante a elaboração do aplicativo pode atuar como consultora e contribuir no refino desses sistemas de segurança – principalmente ao conduzir os testes de validação de segurança. Já na fase final terá papel importante ao definir os requisitos necessários para implantar o sistema de segurança elaborado, mas sem que isso interfira na funcionalidade da aplicação.
Abaixo veremos como o trabalho harmonioso entre as equipes pode contribuir para um projeto mais eficiente e como o ROI em segurança pode ser positivo para a companhia. Confira!
Economia
Estabelecer requisitos de segurança comuns e manter equipes que compreendam a importância de trabalhar nesse sistema permite que os elementos a serem elaborados para uma aplicação – e mais tarde testados e implantados – sejam somente aqueles que se mostram estritamente necessários.
Isso porque é possível criar modelos e reunir informações que permitem estabelecer de maneira clara os requisitos para o projeto e apontar os itens que devem ser testados ou não. Além disso, desenvolver um código seguro é realizar um bom projeto, pois evita vulnerabilidades e defeitos. O resultado é que haverá economia de tempo e de recursos, o que torna um projeto rentável e eficiente para uma companhia.
Produtividade
Os requisitos de segurança são comuns, as equipes assimilaram o sistema e estabeleceram um modelo de trabalho harmonioso e compartilhado. As informações conseguidas pelos profissionais envolvidos no projeto são partilhadas facilmente e incorporadas durante o desenvolvimento da aplicação.
Um modelo de ameaças, por exemplo, determina os possíveis riscos para um aplicativo. Dessa forma, na sua concepção é possível direcionar os esforços durante as etapas de design, desenvolvimento e testes para superar esses desafios, reduzir as vulnerabilidades e com uma economia maior de tempo. Permitindo o aumento de produtividade.
Foco nos negócios
Uma empresa que investe na segurança de aplicações e consegue estabelecer um ambiente de trabalho em que desenvolvedores e equipes de segurança se entendam passa a ter um tempo maior para focar em seus negócios, ou seja, em suas estratégias de mercado e no seu desenvolvimento.
Isso se deve à possibilidade de contratar profissionais especializados e que atendam os requisitos necessários para a condução do seu projeto. O que dá maior segurança e confiança para os empresários, que podem concentrar esforços em outros setores da companhia que necessitem de mais atenção.
Já utilizou o ROI no desenvolvimento de aplicações? Como pretende trabalhar a segurança e o desenvolvimento das aplicações? Compartilhe com a gente as suas experiências!
Veja também:
Originalmente postado no Blog da Conviso Application Security – Siga-nos no Twitter @conviso Google+
