Por Wagner Elias*
Se o primeiro erro de um programador é não se preocupar com a segurança, o principal equívoco dos líderes de segurança cibernética nas empresas é não incentivar uma cultura com foco em segurança. O processo de capacitar toda a equipe de desenvolvedores para avaliar e tratar as vulnerabilidades é longo e complexo, pois ainda falta maturidade técnica para lidar com esse desafio.
Atualmente, vemos diversas empresas que já destinam um orçamento para segurança de aplicações, só que esse investimento é voltado para contratação de ferramentas automatizadas, na maior parte dos casos. A criação de aplicações seguras precisa ser tratada como uma mudança cultural forte, envolvendo toda a companhia, principalmente os setores diretamente ligados ao desenvolvimento de software.
Entendo que AppSec é uma responsabilidade compartilhada entre todos os envolvidos e, não necessariamente, entregue para apenas uma área. Para garantir que essa mentalidade seja implementada corretamente, é aconselhável a adoção de um programa de Security Champion, no qual todo o time é treinado para lidar com o desafio de segurança de aplicações, garantindo que a agenda da equipe de software esteja dedicada à não criar vulnerabilidades ao invés de corrigi-las nas fases de teste.
Leia também:
+ Conheça os principais desafios de Cibersegurança do Open Banking no Brasil
Mas, por que capacitar? Diversas vezes, os profissionais envolvidos com desenvolvimento não têm conhecimento sobre todos os riscos. É neste ponto que a conscientização se faz importante, apresentando os impactos negativos que a exploração de vulnerabilidade traz aos negócios e prepará-los para lidar com isso no dia a dia.
Security Champions têm a responsabilidade de levar essa cultura para a empresa, focando sempre em ajudar e pedir ajuda aos times de especialistas em segurança, quando necessário. Pensando na prática de AppSec, o Security Champion tem o principal objetivo de verificar se o produto final está seguindo os requisitos antes de chegar à fase de testes, sendo grandes parceiros durante todo o desenvolvimento. O profissional que assume este papel consegue, de forma extremamente efetiva, estabelecer uma comunicação entre as equipes de segurança e desenvolvimento, garantindo a qualidade dos softwares de dentro para fora.
Leia também:
+ Cibersegurança e a explosão das identidades não humanas
Em 2021, o Gartner revelou que cerca de 35% das empresas estão empenhadas em construir seus programas de Security Champions. Este aumento é interessante, mas é fato que as empresas ainda não enxergam de que forma a criação de times de Security Champions pode impactar positivamente todo o processo de criação de aplicações.
Ainda falta maturidade técnica e estruturação das empresas para lidar com esse desafio. Vemos diversas empresas que já destinam um orçamento para segurança de aplicação, só que esse orçamento é voltado para contratação de ferramentas automatizadas, na maior parte dos casos.
O conhecimento dos requisitos básicos de arquitetura de software e nuvem é apenas o primeiro passo em um longo caminho de capacitação e treinamento para mudar a cultura dentro da empresa e, finalmente, desenvolver pensando primeiro em segurança e depois em funcionalidade.
*Wagner Elias é CEO da Conviso
Fonte: Mondoni Press