Por Jonathan Arend, Principal Consultant de CyberSecurity da keeggo

Em um mundo onde dependemos quase que integralmente de aplicativos digitais, a segurança do usuário é uma preocupação que qualquer desenvolvedor precisa antecipar e priorizar. Um dos maiores erros é se preocupar com a segurança da sua aplicação web só depois de concluir os procedimentos de desenvolvimento do software.

Ainda que seja importante a presença de tecnologias tradicionais de segurança de infraestrutura e borda, as vulnerabilidades web são exploradas diretamente na camada de Aplicação, fazendo com que estas ferramentas não atendam a proteção da integridade do software e dos dados sensíveis que nela habitam em completude.

Imagine, por exemplo, uma vulnerabilidade de Hard-Coded Credentials que, por expor credenciais de usuários dentro do próprio código-fonte acaba por possibilitar vazamentos de dados pessoais e sensíveis. Outro exemplo é o SQL Injection, em que o usuário atacante pode performar queries de bancos de dados a fim de contornar o processo de autenticação e obter acesso indevido a sistemas. Portanto, sabe-se que explorar uma vulnerabilidade pode ser tão fácil quanto fazer um login.

Por isso, pensar desde o início na segurança do seu projeto é ideal para otimizar o processo. Afinal, lá na frente, falhas podem significar perdas financeiras, vazamento de dados e, consequentemente, prejuízo significativo à reputação das empresas.

Quanto custa uma falha de segurança? Às vezes pode custar todo o seu negócio.

Entender que as ameaças cibernéticas estão cada vez mais sofisticadas, e o desenvolvedor muitas vezes não consegue se guiar sobre como arquitetar um software pensando antecipadamente em sua segurança. Não existem normas que padronizem os procedimentos dentro das empresas e faltam políticas que regulamentem o desenvolvimento. É aí que entra o tal do “Security by design”, ou “Seguro por Design”, uma abordagem relativamente nova no Brasil, que visa pensar na segurança desde o escopo de desenvolvimento de um novo software. Essa modalidade permite que a equipe preveja todas as situações de riscos que a aplicação pode estar sujeita e é fundamental para a definição da estratégia durante o desenvolvimento.

Pensando no lado do desenvolvedor, sempre precisamos considerar que a segurança deve ser a prioridade de todas as etapas do processo de desenvolvimento. Não adianta lançar um aplicativo com diversas funções e uma usabilidade fluida, se a segurança do usuário, fator primordial para esse usuário cogitar utilizar a aplicação, está sendo deixada de lado.

Se um cliente passa por um problema com a segurança de uma aplicação web, a sensação de desconfiança com a marca pode perdurar para sempre. Por mais que você melhore os processos, mude seus fornecedores e equipe, dificilmente irá convencer aquele usuário a consumir seu produto novamente.

Mas por que eu devo pensar na segurança da minha aplicação antes de começar a desenvolvê-la? A resposta é simples: aplicações web lidam com diversos dados sensíveis dos usuários diariamente, como informações pessoais, financeiras e médicas, e a segurança dessas informações é imprescindível se você quer que sua empresa seja bem-vista no mercado. Pois ao incorporar práticas de segurança durante o desenvolvimento de uma aplicação, é possível antecipar e prevenir potenciais problemas futuros que podem afetar desde a esfera financeira até a jurídica/legal de sua empresa. Quando consideramos a segurança desde as fases iniciais do desenvolvimento, conseguimos identificar vulnerabilidades antes mesmo de serem exploradas na aplicação.

Investir seu tempo pensando na segurança desde o início do desenvolvimento pode economizar custos (e dores de cabeça) no longo prazo. Identificar e lidar com as vulnerabilidades de uma aplicação durante as fases iniciais do projeto evita o surgimento de problemas de segurança depois do lançamento, como adicionais com reparos, ou até mesmo uma ação judicial por vazamento de dados, por exemplo. É sempre mais sábio antecipar os obstáculos do que pagar para ver as consequências mais tarde.

Mas se já te convenci a pensar nisso desde o pontapé inicial, agora enfatizo a importância de pensar no quão eficientes são as proteções de segurança dos sistemas da empresa. Não adianta ter todas as ferramentas necessárias se elas estão mal implementadas e com brechas, que podem colocar o usuário em risco.

Por último, a principal forma de garantir um desenvolvimento seguro de softwares e aplicações, também está no investimento em novas formações da sua equipe e a garantia de que todos estão qualificados para desempenhar as funções necessárias. Aqui na keeggo, temos políticas próprias e levamos à risca o treinamento dos nossos profissionais para entregar excelência aos clientes. Além disso, estamos auxiliando empresas a desenvolverem suas próprias políticas para guiarem os funcionários na hora de botar a mão na massa.

Dito tudo isso, proponho um exercício que vai valer para toda a sua vida profissional, de agora em diante: Pergunte-se sempre, antes mesmo de começar um novo projeto de software: Como evitar que o futuro clique do meu usuário comprometa nosso relacionamento, a reputação e a receita da minha empresa?