Com o crescente volume de desenvolvimento de aplicativos desde o início da pandemia e a presença cada vez maior dos sistemas na nuvem, ficou evidente como as empresas ficaram mais vulneráveis em relação à segurança da informação, o que coloca a falta de Governança de TI no holofote, pois a ausência de boas práticas de segurança e de desenvolvimento de software tornou as aplicações alvo fácil para ciberataques.
Segundo estudo da Netscout, de 1° de janeiro a 3 de agosto de 2021, o Brasil sofreu mais de 439.000 ataques cibernéticos, assumindo a segunda posição entre os maiores alvos globais, perdendo apenas para os Estados Unidos. E, de acordo com o Gartner, em 2021, 90% dos aplicativos habilitados para web terão mais área de superfície para ataque na forma de APIs expostas em comparação com as interfaces dos usuários. Em 2019 esse número era de 40%.
Fica evidente que a velocidade exigida pelo mercado no lançamento de aplicativos e a complexidade do ambiente tecnológico, com a adoção massiva da nuvem, criam cada vez mais vulnerabilidades e brechas para ciberataques. Podemos exemplificar as vulnerabilidades mais simples de serem resolvidas nas empresas, como a utilização de autenticação de dois fatores para os acessos dos usuários, até as mais complexas para a proteção das APIs, utilizando gateways, autenticação OAuth 2.0, Json Web Tokens, OpenID Connect.
A impressão é que as empresas não evoluíram na Governança de TI na velocidade do mercado e seguem práticas antigas de quando estavam totalmente protegidas no seu mundo interno, in house, com seus data centers, servidores e sistemas internos, e isso deve ser atualizado, pois somos cada vez mais integrados ao mundo externo, que é a Transformação Digital.
Nesse contexto, se torna indispensável a adoção de uma Governança atualizada de TI, entendendo que as empresas estão cada vez mais expostas, que a complexidade e a vulnerabilidade são gigantes, que a tecnologia muda rapidamente e que não temos mais controle total das coisas. É preciso readaptar as melhores práticas e melhorar sempre.
Colocando uma lupa no desenvolvimento e no lançamento de aplicativos, o mundo está criando um "buraco negro" e não está se dando conta disso. Empresas, startups e fundos de investimento estão colocando bilhões de dólares em desenvolvimento de aplicações e estão correndo um risco enorme de perder seus investimentos e sua reputação no mercado.
Todos tiram conclusões sobre o que veem, ou seja, as funcionalidades, o design, a interação do aplicativo, o front end, mas poucos dão a devida atenção ao que não veem, à fundação, o que chamamos de back end e arquitetura de software. E é aí que se encontra o grande percentual das brechas escondidas e não tratadas. É o mundo das APIs, das integrações, dos bancos de dados, das senhas expostas, da falta de criptografia, do vazamento de dados, é o mundo das vulnerabilidades.
Este cenário, repleto de riscos, faz parte do nosso dia a dia, nas quais falhas humanas tornam o processo cada vez mais vulnerável, reforçando a necessidade de uma robusta Governança em TI que crie políticas abordando as melhores práticas de desenvolvimento e segurança de dados. Devemos implementar uma arquitetura robusta desde o início, precisamos criar uma rotina saudável de desenvolvimento, sermos um agente anticaos.
Como recomendação, faça um mapeamento geral do seu parque de TI, descubra as vulnerabilidades e contrate parceiros e provedores de soluções certificados e aptos no desenvolvimento de software, que conheçam profundamente a nuvem e que tragam ferramentas e técnicas atualizadas para dentro da sua empresa.
Marcel Pratte, CEO do Grupo Viceri.