Surto de ataques cibernéticos: Segurança sob medida para conter as falhas

Por Outubro 9, 2018

O nível de segurança das aplicações que usamos diariamente em nossos smartphones e computadores é motivo para alarme

Em uma pesquisa recente, foi descoberto que 77% das aplicações têm, pelo menos, uma vulnerabilidade na primeira análise. Menos do que um terço das companhias têm uma estratégia eficiente para lidar com ataques cibernéticos de grande escala, enquanto ano passado, o malware “WannaCry” paralisou 300,000 computadores em mais de 150 países. E quando erros críticos são detectados, somente 1 em 3 problemas é resolvido em um mês…

Governança em toda etapa

Mesmo quando o software desenvolvido internamente é impecável, as aplicações continuam vulneráveis a falhas de segurança, já que muitas delas incorporam bibliotecas de código aberto que não têm garantias de serem seguras. Esse tipo de componente pode formar até 75% do código em um pacote de software!

Eles agora exploram infraestruturas que estão se desenvolvendo rapidamente, com um aumento de modelos híbridos. Os negócios de hoje estão se voltando para plataformas baseadas na nuvem, que oferecem a eles tecnologia de microsserviço e repositórios, dando acesso mais fácil e rápido às aplicações. Entretanto, tais componentes podem conter código defeituoso, até malicioso, e os negócios que os usam comprometem não só a segurança de seus próprios sistemas de informação, como também os de membros de seus ecossistemas.

Estudos também mostram que, em um ambiente de armazenamento na nuvem, uma a cada seis bases de dados está completamente exposta, sem medidas de segurança. Plataformas na nuvem frequentemente, é claro, oferecem medidas protetivas sofisticadas, mas se a companhia não as usarem consistentemente, seus códigos e dados continuarão vulneráveis. Portanto, é urgente que as companhias revisem suas regras de governança no uso de centros de dados e plataformas de nuvem.

Do GDPR à cultura corporativa

Além de regras de governança, que são notáveis por sua ausência, o problema da segurança de apps poderia ser resolvido por regulamentações? Segurança está no coração do General Data Protection Regulations (GDPR), que tomou força em 25 de maio. Contudo, enquanto ele fornece uma estrutura mais rigorosa para uso de dados pessoais, o artigo 20 do GDPR poderia abrir a caixa de Pandora para a segurança deles.

Centrado na portabilidade de dados, esse artigo foi projetado para fazer com que a transferência de dados pessoais entre operadores rivais seja mais fácil. Então, por exemplo, se um cliente quer deixar a Apple Music e se inscrever no Deezer, ou vice-versa, sua playlist será automaticamente transferida de um para outro. Essa é a real vantagem para a liberdade do consumidor, mas vem com um risco maior: as “plataformas de portabilidade” podem agir como intermediárias entre diferentes agentes do mercado. E essas plataformas vão passar dados pessoais de um modo mais ou menos seguro. O risco não é tanto que tais agregadores tenham acesso a dados pessoais sem o consentimento do consumidor (apesar…), mas as APIs usadas para enviar os dados podem ser deficientes em segurança.

Dados esses comentários, o que uma companhia pode fazer? Ela precisa de uma mudança cultural! Embora muitos vejam a segurança como obstáculo em termos de reatividade, produtividade e flexibilidade, isso acontece porque ela é levada em consideração tarde demais, o que significa que o código tem que ser reescrito e o tempo de mercado é atrasado. No contexto atual, essa abordagem não é sustentável: um desenvolvedor deve fazer da segurança uma prioridade desde a primeira linha do código escrito. Como a regra “privacidade sob medida” imposta pelo GDPR, a “segurança sob medida” deve se tornar um lema para os times de desenvolvimento. E os conselhos e diretores das companhias devem fazer da segurança um pilar de suas estratégias para ganhar e reter consumidores, porque essa é a fundação onde a confiança será construída. E sem confiança, não há crescimento…

Escrito por Marie-Benoîte Chesnais
Technical Account Director at CA Technologies
LinkedIn: @mariebenoîte