Durante o desenvolvimento de um software, os gerentes de TI buscam garantir a entrega de um produto com uma baixa quantidade de bugs no menor tempo possível. No entanto, durante esse processo, não são raros os casos em que gestores ignoram práticas de segurança que evitam, no futuro, vazamento de dados sigilosos. Diante desse cenário, é fundamental que certas rotinas sejam tomadas, ainda que os modelos de criação de software mais tradicionais não sejam focados no desenvolvimento de software seguro.

Prefere ouvir a versão em áudio deste post? Clique no player abaixo: 

Nem todos os modelos de desenvolvimento garantem um bom sistema

Peguemos como exemplo o Modelo em Cascata (ou Waterfall Mode, em inglês). Por ser um dos primeiros modelos a serem criados, foi altamente adotado, ainda que possuísse falhas. Suas etapas são:

• verificação dos requerimentos de software e sistema;

• analise e criação da estrutura do software

• desenvolvimento do código do programa;

• teste, depuração e busca por erros;

• instalação, suporte e manutenção de todos os sistemas interligados ao software.

Ainda que algumas versões modificadas do modelo tenham sido criadas, a original peca pela falta de uma etapa em que são implementadas políticas e rotinas de segurança de software. Já modelos como o espiral são focados na capacidade da equipe para desenvolver um programa com um bom aproveitamento do tempo e do esforço de todos os profissionais envolvidos. Dessa forma, é possível eliminar rapidamente elementos que podem atrasar a criação do sistema ou diminuir a produtividade do time de desenvolvedores.

Adotando boas práticas de segurança de software

A adoção de um modelo de desenvolvimento tradicional não deve ser visto como um motivo para a não implementação de rotinas de segurança. Ao buscar práticas que permitam o desenvolvimento de um software estável e com poucas falhas, o gerente de TI faz com que o seu sistema seja lançado sem falhas graves de segurança. Isso diminui a possibilidade dos dados de segurança do usuário — e da sua empresa — ficarem vulneráveis.

Em um mundo onde pessoas mal-intencionadas trabalham buscando por brechas que permitam a obtenção de dados pessoais e corporativos, o cuidado com a segurança deve passar por todas as etapas de criação de um software e ser incorporado no cotidiano dos profissionais de TI. Veja abaixo alguns exemplos de como tornar o seu sistema mais seguro:

• Na etapa de classificação de requisitos e formação da equipe de desenvolvimento, é necessário identificar a necessidade de utilização de métodos de criptografia, segurança de usuários, treinamento e, em alguns casos, questões legais envolvendo licenciamento e manipulação de dados;

• Quando a arquitetura do software for projetada, é necessário levar em conta o nível de segurança da arquitetura e da linguagem escolhida, as possíveis vulnerabilidades que o sistema pode apresentar e quando e como os métodos de autenticação e envio de dados seguro serão utilizados;

• Procure oferecer uma documentação com todos os requerimentos de segurança listados para a sua equipe. Além disso, garanta que o seu time trabalhe de acordo com as definições de segurança do projeto, usando as ferramentas da arquitetura e buscando vulnerabilidades da maneira correta;

• Antes de lançar o seu sistema para o público geral, faça testes nos seus métodos de segurança e tente pensar como alguém que deseja comprometer a segurança do sistema. Nessa etapa, é importante garantir que todos os blocos de código que envolvem informações sensíveis não tenham brechas que possam comprometer a segurança do usuário;

• Por fim, quando o produto for finalmente adotado pelo mercado, continue fazendo monitoramento em busca de falhas de segurança. Permita (e incentive) que o seu usuário envie logs com dados de uso e falhas de software. E caso alguma brecha seja encontrada, trabalhe com o seu time para que um patch de segurança seja lançado o mais rápido possível.

Prevenir é melhor que remediar

Com a dinamização dos modelos tecnológicos e de gestão, empresas de desenvolvimento e consultoria de software passaram a ter um papel protagonista na busca por falhas de sistema. Se antes isso era conquistado por hackers que buscavam vulnerabilidades para obtenção de senhas e outros dados privados, hoje as desenvolvedoras trabalham na busca por brechas diversas. Para que essa nova postura ganhasse força, requisitos regulatórios foram criados buscando responsabilizar os criadores — e não os usuários — pelos problemas causados por um software não seguro. Não tenha medo de adaptar as rotinas e protocolos existentes a sua necessidade.

Na era da internet das coisas, a tecnologia tornará a nossa vida melhor dentro e fora do ambiente de trabalho. Nesse cenário em que softwares serão responsáveis pela manipulação de um número cada vez maior de informações, garantir que esses dados estejam seguros é fundamental para as empresas e para os seus usuários. Ao adotar boas práticas que levam ao desenvolvimento de software seguro, o gerente de TI foca os seus recursos na criação e manutenção de um sistema benéfico para a sua empresa e para todos os que dela dependem. Ainda que os desafios estejam cada vez maiores, um sistema que deixe a organização menos vulnerável a ataques criminosos gera menos gastos com contenção e resolução de problemas.

Conhece alguma dica de segurança que não foi apresentada no post? A sua empresa já pratica essas rotinas? Compartilhe a sua experiência conosco!

Originalmente postado no Blog da Conviso Application Security – Siga-nos no Twitter @conviso Google+