Processo Security by Design economiza tempo e dinheiro desde o dia zero da empresa
À medida que a transformação digital ocorre nas empresas, o crescimento de incidentes de segurança como vazamento de dados é igual ou superior à velocidade da transformação. Mas muitas companhias começam a se preocupar com a segurança da informação somente após um problema ou obrigação legal. Do ponto de vista dos especialistas da área, essa preocupação deve existir desde o nascimento da organização, ou seja, por meio do processo Security by Design, pois quanto antes o compromisso com a segurança acontecer, maiores as chances desta ficar protegida contra os ataques.
Conhecido como Security by Design (seguro desde o projeto, na tradução livre), esse procedimento garante a atenção com segurança desde o desenho do software ou da empresa. “Isto quer dizer que o produto ou serviço final terá um risco relacionado à segurança muito menor, pois todas as etapas consideraram essa preocupação”, informa Willian Caprino, diretor de desenvolvimento de novos negócios da Blaze Information Security
O especialista lembra que planejar corretamente, implementar soluções e testar antecipadamente é muito mais barato do que corrigir depois que já estiver pronto, havendo também um ganho com relação ao tempo que o sistema entrará em produção, pois serão evitados retrabalhos para correção de falhas que possam ser exploradas.
Teste de intrusão / penetração
Segundo Caprino, o pentest é um aliado do Security by Design. Também chamado de teste de intrusão ou teste de penetração, é um método que avalia a segurança de um sistema de computador ou de uma rede. “Ele deve ser executado periodicamente, nos processos de desenvolvimento de produto em fases finais, onde avalia a segurança de um sistema a partir de uma simulação de um ataque, ou quando o produto sofre modificações expressivas”, explica.
Além de testar periodicamente os sistemas para se assegurar que não há falhas e assegurar que os sistemas de proteção estão adequadamente configurados, Caprino recomenda que outras preocupações devem existir para evitar ataques e vazamentos, como utilizar uma metodologia de desenvolvimento de software que priorize a segurança em todas as suas fases.
Cultura organizacional
De acordo com ele, além de software e aplicativos, uma grande porta de entrada para ataques e vazamento nas empresas são os colaboradores. “Muitas vezes não por maldade ou com o propósito de prejudicar, mas sim por falta de conhecimento e preparo. É de grande importância desenvolver uma cultura organizacional onde todos sejam treinados para evitar caírem em armadilhas”, salienta.
“Por exemplo, recentemente, uma indústria farmacêutica comunicou ao mercado ter recebido um ataque cibernético criminoso, que resultou na indisponibilidade de parte de seus sistemas e operações. Já o site e aplicativo de uma grande varejista também sofreram um ataque parecido. Esses ataques cibernéticos poderiam ser evitados se contassem com ações preventivas desde o início das operações”, pontua Caprino.
Segundo uma pesquisa realizada pela EY e divulgada pela Agência EY, o número de ataques cibernéticos contra empresas cresceu 300% em todo o mundo durante a pandemia. Por isso, o especialista avalia que há uma grande vantagem nas empresas que adotam medidas adequadas de gestão de risco e segurança da informação para as que não dão a devida atenção.
“Além de estarem mais preparadas para incidentes e menos suscetíveis aos impactos nos seus negócios, torna-se habitual e natural a tratativa com a prevenção e contenção de incidentes, sendo apenas mais um processo a ser seguido. E com a Lei Geral de Proteção de Dados (LGPD) impactando o dia a dia de praticamente todas as organizações, o cuidado com os dados de terceiros deve ser redobrado.
Comentários estão fechados.