Na correria de fim de ano, ao buscar bater metas, encerrar ciclos e dar conta de demandas extras, muitas empresas acabam negligenciando a segurança de suas aplicações. E isso é especialmente preocupante se levarmos em consideração que é neste período que ocorrem muitos eventos que acarretam em um aumento de tráfego, como o Black Friday e o Natal. Por conhecermos os desafios advindos da correria do último trimestre, listamos 4 serviços de AppSec que não devem ser negligenciados no fim de ano.
Na Conviso, sempre defendemos que não existe um único momento do ano para se estar em dia com a segurança no desenvolvimento – é uma atividade que deve ser realizada de forma contínua.
No entanto, a segurança também é uma área que exige uma estratégia bem definida, e preparar-se para ações sazonais é essencial para evitar possíveis contratempos. Vamos lá?
Pentest web
O que é
Pentest é uma análise de segurança realizada manualmente, onde os pentesters irão emular o comportamento de um atacante em busca de vulnerabilidades a serem exploradas, permitindo o acesso não autorizado de dados sensíveis. Temos um artigo bem completo sobre os tipos de pentest, não deixe de conferir.
Vale lembrar que o Penetration Testing é uma abordagem sob medida e precisa ser executado por profissionais especializados. Na Conviso, todas as práticas são suportadas por tecnologia própria – a Conviso Platform, que permite garantir a cobertura dos testes, acompanhamento online e proteção dos dados do cliente que são adquiridos antes e durante os testes.
Por que não negligenciar esse serviço de appsec em fim de ano
De acordo com uma pesquisa recente do CupomValido, o Brasil lidera o ranking de crescimento das vendas online, com um crescimento de 22,2% no ano de 2022. Além disso, estima-se um crescimento das compras feitas pela internet de 20,73% ao ano, entre 2022 e 2025. Estima-se que 49% da população realizou ao menos uma compra online no último ano.
Além disso, o que nossos analistas da Conviso relatam é que é neste período que geralmente as empresas estão correndo para entregar sistemas ou features até o final do ano – e é comum que não se preocupem adequadamente com a segurança.
Afinal, por mais que muitas empresas saibam que o ideal seja tratar a segurança o mais cedo possível na esteira, ainda vemos times de desenvolvimento priorizando apenas os próprios prazos. Por isso, contrate um pentest para verificar se sua aplicação não possui nenhuma falha mais crítica antes dos dias de maior movimento e menor monitoramento por parte do time de operações da sua empresa – esse é o conselho da Conviso.
Pentest Mobile
O que é
Assim como o Pentest Web, o Pentest Mobile também é um serviço de segurança de aplicações que simula uma invasão. No caso, as invasões são simuladas em aplicações para dispositivos como smartphones e tablets e que sejam nativas para as plataformas iOS e Android. Temos um artigo bem interessante que aborda as diferenças entre segurança web e mobile, não deixe de conferir!
Por que é especialmente importante em fim de ano
Pelo mesmo motivo dos pentest web – na correria de fim de ano, é comum que o Pentest Mobile seja negligenciado por equipes de segurança, o que é um erro. No entanto, é importante acrescentar que com o crescimento exponencial do mercado de desenvolvimento de aplicativos para aparelhos móveis, os ataques a aplicações mobile também aumentaram.
De acordo com uma pesquisa anual realizada pela FGV, atualmente, em 2022, há 242 milhões de smartphones no Brasil – ou seja, há mais celulares do que habitantes no país! Em termos globais, uma pesquisa da Strategy Analytics sobre uso de smartphones revelou uma estimativa de que 3,85 bilhões de pessoas possuíam um celular em 2021.
Portanto, negligenciar o Pentest não é uma opção.
Treinamentos de AppSec
O que são
Os treinamentos de AppSec são capacitações em Técnicas e Melhores práticas de Desenvolvimento Seguro. São ministrados por profissionais e voltados para todos aqueles envolvidos no processo de desenvolvimento de software. Isso inclui, mas não se limita, a Gerentes de Projetos, POs, arquitetos, QA e principalmente desenvolvedores (backend e frontend).
Na Conviso, as Capacitações são integradas ao seu processo – com desafios de código seguro contextualizados e baseados nos principais gaps do seu time, para que a correção de vulnerabilidades deixe de ser um desafio e se torne parte da cultura de sua empresa
Por que não negligenciar esse serviço de appsec em fim de ano
Algo que sempre reforçamos com nossos clientes é que os treinamentos de Appsec devem ser realizados não apenas para estar em conformidade com leis ou auditorias – defendemos que a segurança deve ser encarada como um valor que deve ser inserido na cultura de cada empresa, como uma forma de oferecer produtos e serviços com o máximo de segurança para o consumidor final.
Afinal, seus benefícios são muito melhor explorados quando a segurança é encarada como uma atividade contínua. Portanto, por mais que o fim de ano possa trazer uma sobrecarga de atividades para todos os setores de uma empresa, os treinamentos de segurança jamais devem pausados, adiados ou retirados da lista de prioridades.
Em uma pesquisa realizada recentemente pela Conviso sobre o Mercado Brasileiro de AppSec, quando perguntados se a empresa em que trabalhavam possuía conhecimento suficiente sobre AppSec, apenas 18,2% dos entrevistados respondeu que sim. 54,5% relataram ver esforços em melhorias neste sentido nos últimos anos. Ou seja: para que esses números melhorem e o mercado atinja um patamar de maior conhecimento sobre AppSec -é necessário investir em treinamentos!
Um bom programa de AppSec Squads
O que é
Ter um AppSec Squads da Conviso em uma equipe de desenvolvimento ajuda sua equipe a trabalhar o mindset de segurança de aplicações, afinal, eles atuam como influenciadores da cultura de segurança.
Trata-se de um programa que envolve a adoção de práticas de segurança no processo de desenvolvimento e a conscientização de todos os envolvidos sobre os riscos. São esses, afinal, os fatores essenciais na construção de aplicações seguras. Na Conviso, o programa AppSec Squads operado e implementado com base na alocação de profissionais experientes, bem como na utilização da Conviso Platform.
Por que não negligenciar esse serviço de AppSec em fim de ano
Neste caso, trouxemos esse exemplo não por se tratar de um serviço que seja específico para o fim de ano. Mas caso uma das metas do último trimestre do ano da sua empresa seja investir em Segurança de Aplicações, pode ter certeza: poucos investimentos são tão valiosos a longo prazo quanto aqueles que impactam no mindset de segurança de seus times. É o caso dos treinamentos, previamente citados, mas também de um bom programa de AppSec Squads, que vai promover awareness na sua equipe.
