Na América Latina notamos um aumento significativo em ataques cibernéticos nos últimos anos. Este cenário destaca a necessidade urgente de práticas de desenvolvimento de software mais seguras, como processo mandatório para criar a resiliência cibernética.
Nesta direção, a Agência de Segurança Cibernética e Infraestrutura (CISA) dos Estados Unidos lançou a iniciativa Secure by Design, estabelecendo um novo padrão de segurança para a indústria de software. Ela incentiva os fornecedores a criarem software seguro desde o início e, assim, alivia os usuários finais da responsabilidade pela segurança do produto.
No Brasil, a adoção de práticas semelhantes à Secure by Design pode ser crucial para mitigar vulnerabilidades exploradas por atacantes.
A iniciativa baseia-se em três princípios fundamentais:
1. Assumir a responsabilidade pelos resultados de segurança do cliente
Significa que os fornecedores de software devem garantir que seus produtos sejam seguros desde o início. Isso envolve uma mudança de paradigma por meio da qual a segurança não seja apenas uma consideração de última hora, mas um componente central do processo de desenvolvimento. No contexto brasileiro, onde a transformação digital está em pleno andamento, essa abordagem pode ser particularmente muito benéfica.
Implementação prática:
• Desenvolvimento seguro: Incorporar práticas de segurança em todas as fases do ciclo de vida do desenvolvimento de software (SDLC). Inclui desde a fase de planejamento até a implementação e manutenção.
• Testes de segurança: Realizar testes de segurança rigorosos, como testes de penetração e análises de vulnerabilidades, para identificar e corrigir falhas antes que o software seja lançado.
• Atualizações e patches: Manter um processo contínuo de atualização e aplicação de patches para corrigir vulnerabilidades descobertas após o lançamento do software.
Benefícios:
• Redução de Riscos: Minimiza a exposição a ataques cibernéticos, protegendo tanto a empresa quanto seus clientes.
• Confiança do Cliente: Aumenta a confiança dos clientes na segurança dos produtos oferecidos, melhorando a reputação e o score cibernético da empresa.
2. Adotar transparência radical e responsabilidade
A transparência radical e a responsabilidade envolvem a comunicação aberta e honesta sobre as práticas de segurança e as vulnerabilidades descobertas. No Brasil, onde a confiança do consumidor é crucial, essa abordagem pode ajudar a construir relacionamentos mais fortes e confiáveis com os clientes.
Implementação prática:
• Comunicação aberta: Informar os clientes sobre quaisquer vulnerabilidades descobertas e as medidas tomadas para corrigi-las. Pode ser feito por meio de relatórios de segurança regulares e atualizações de status.
• Responsabilidade compartilhada: Envolver todas as partes interessadas, incluindo desenvolvedores, gerentes e clientes, na responsabilidade pela segurança. Pode ser alcançado a partir de treinamentos e workshops de conscientização sobre segurança.
• Documentação detalhada: Manter uma documentação detalhada de todas as práticas de segurança, testes realizados e vulnerabilidades corrigidas. Além de ajudar na transparência, serve como um recurso valioso para futuras auditorias de segurança.
Benefícios:
• Confiança e credibilidade: Aumenta a confiança dos clientes e parceiros, mostrando que a empresa leva a segurança a sério.
• Melhoria contínua: Facilita a identificação de áreas de melhoria e a implementação de melhores práticas de segurança.
3. Construir uma estrutura organizacional e liderança para alcançar esses objetivos
Para alcançar os objetivos de segurança, é essencial construir uma estrutura organizacional robusta e uma liderança comprometida. No Brasil, onde muitas empresas estão em fase de crescimento e mudança de nível da maturidade cibernética, uma liderança forte em segurança pode fazer a diferença.
Implementação prática:
• Cultura de segurança: Promover uma cultura organizacional que valorize a segurança em todos os níveis. Pode ser feito com treinamentos regulares, campanhas de conscientização e incentivos para práticas seguras.
• Liderança dedicada: Nomear líderes de segurança dedicados, como Chief Information Security Officers (CISOs), que sejam responsáveis por supervisionar todas as iniciativas de segurança.
• Estrutura de governança: Estabelecer uma estrutura de governança clara que defina responsabilidades, processos e políticas de segurança. Inclui a criação de comitês de segurança e a realização de auditorias regulares.
Benefícios:
• Alinhamento estratégico: Garante que as iniciativas de segurança estejam alinhadas com os objetivos estratégicos da empresa.
• Resiliência organizacional: Aumenta a resiliência da organização contra ameaças cibernéticas, garantindo a continuidade dos negócios.
A implementação desses princípios pode ser adaptada da seguinte forma:
1. DevSecOps: Integrar práticas de segurança em todas as etapas do desenvolvimento de software. Inclui a automação de verificações de segurança e a implementação de treinamentos contínuos para desenvolvedores sobre como identificar e corrigir vulnerabilidades.
2. SBOM (Software Bill of Materials): Manter um inventário detalhado dos componentes de software, incluindo versões, vulnerabilidades e licenças. Proporciona maior visibilidade sobre as origens e riscos associados ao software utilizado.
3. Uso de IA: Adotar ferramentas de inteligência artificial para auxiliar na geração de código seguro, identificação de funções de código não comentadas e refatoração de bases de código legadas para linguagens seguras.
A adoção dessas práticas pode trazer inúmeros benefícios, como a redução de vulnerabilidades e a melhoria da confiança dos clientes. No entanto, também apresenta desafios, como a necessidade de treinamento especializado e a adaptação de processos existentes.
A iniciativa da CISA oferece um modelo valioso que pode ser adaptado ao contexto brasileiro para fortalecer a segurança cibernética. Ao adotar práticas como DevSecOps, SBOM e o uso de IA, as empresas brasileiras podem mitigar vulnerabilidades e proteger melhor seus ativos digitais contra ataques cibernéticos.
Mesmo com práticas robustas de DevSecOps e Security by Design, as empresas ainda estão sujeitas a riscos cibernéticos. O seguro cibernético oferece uma camada adicional de proteção, cobrindo perdas financeiras e responsabilidades legais decorrentes de incidentes cibernéticos.
Entre os benefícios do seguro cibernético, destaco a cobertura de perdas financeiras, que inclui custos de resposta a incidentes, recuperação de dados e interrupção de negócios; a proteção legal, já que cobre custos de defesa legal e indenizações em caso de processos judiciais; e o gerenciamento de crises, serviços de relações públicas para ajudar a restaurar a confiança dos clientes e a reputação da marca.
A integração de DevOps, Security by Design e seguro cibernético pode criar uma abordagem holística para a segurança cibernética, proporcionando uma defesa em profundidade contra ameaças cibernéticas.
Sinergia entre DevOps e Security by Design
• Automação e segurança: A automação de testes de segurança no pipeline de DevOps garante que a segurança seja uma parte contínua do processo de desenvolvimento, alinhando-se com os princípios de Security by Design.
• Cultura de Segurança: A promoção de uma cultura de segurança em DevOps, onde todos os membros da equipe são responsáveis pela segurança, complementa a responsabilidade e a transparência defendidas pelo Security by Design.
Papel do seguro cibernético
• Mitigação de riscos residuais: Mesmo com práticas robustas de DevSecOps e Security by Design, sempre haverá riscos residuais. O seguro cibernético oferece uma rede de segurança financeira para mitigar esses riscos.
• Planejamento de continuidade de negócios: O seguro cibernético pode ser integrado ao planejamento de continuidade de negócios, garantindo que a empresa possa se recuperar rapidamente de um incidente cibernético.
Conclusão
A correlação entre DevOps, Security by Design e seguro cibernético é clara: juntos, eles formam uma abordagem abrangente para a segurança cibernética. No contexto brasileiro, onde os ataques cibernéticos são uma ameaça constante, a integração dessas práticas pode fortalecer significativamente a postura de segurança das empresas. Ao adotar DevSecOps, incorporar os princípios de Security by Design e investir em seguro cibernético, as empresas podem não apenas mitigar riscos, mas também garantir a continuidade dos negócios e proteger seus ativos mais valiosos, as chamadas "jóias da coroa".
Ronaldo Andrade, CISO (Chief Information Security Officer) na Horiens.
