Por volta do ano de 1800, na Dinamarca, Andersen empregava suas penas para trazer lições às crianças – e não somente a elas – através de fábulas, contos e poemas. No entanto, entre suas muitas produções, existe uma que especialmente nos interessa: "A Roupa Nova do Imperador".
Diz a lenda que há muitos anos havia um Imperador tão apaixonado por novas roupas, que empregava nelas todos os seus recursos. Por esse motivo, pouco investia em seu exército, cultura e nas demais áreas de seu reino. Certo dia, um par de espertalhões chegou ao palácio oferecendo roupas mágicas, coisa que apenas os mais competentes no trabalho e de alma honesta poderiam admirar. O resto você já sabe: o rei os colocou porta adentro, lhes encheu os alforjes com ouro e seda, e acabou nu, pelado e com a mão no bolso – literalmente.
Ultimamente pouco se fala em Andersen, mas muito se tem falado a respeito de dados, privacidade e penas. A nova Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor há pouco mais de um mês e empresas de todo Brasil se lançaram numa corrida desesperada atrás de novas políticas de privacidade e contratação de DPOs (sigla de Data Protection Officer). Aliás, DPO é o emprego da vez, uma profissão com menos de 1 ano de existência que já chega a valer a bagatela de R$ 20 mil em regime CLT.
Todos querem privacidade, mas poucos se atentam ao fato de que privacidade não é uma causa e sim uma consequência. Não pode haver privacidade sem antes haver uma cultura corporativa voltada ao cliente e à segurança da informação. E isto não se constrói da noite para o dia.
Anualmente a empresa Comparitech promove um ranking global de risco cibernético. Na edição anterior o Brasil figurava na 30º posição. Na atual, figura na 13º. Em apenas um ano o país ganhou 17 posições de risco. Como não bastasse, a pandemia da COVID-19 despertou nas empresas uma necessidade emergencial de se "onlinezar". Coisa que encurtou os prazos de entrega de softwares, sacrificando os testes de funcionalidade e, principalmente, os de segurança cibernética.
Mas como dizia Lenine: "Mesmo quando tudo pede um pouco mais de calma (…) a vida não para". Apenas durante o primeiro semestre de 2020 o Brasil registrou 2.6 bilhões de ataques cibernéticos. Na América Latina, ataques do tipo phishing cresceram 600%. Se por um lado as empresas estão ficando mais relaxadas com os pilares da segurança e qualidade, por outro, a Highway do mundo digital continua conduzindo os incautos diretamente to Hell.
E onde os programadores entram nesta história toda!? Ora, não é possível falar em softwares sem antes falar em seus programadores. Os programadores são os artífices desta construção. Não há como separar um do outro e se os programadores imprimem seu ethos e assinatura nos softwares que produzem, apenas produzirão softwares seguros se antes cultivarem um mindset voltado à segurança.
O time de programação não é o primeiro ponto em que as empresas devem trabalhar em direção à privacidade e segurança, mas com certeza é o de maior vulnerabilidade. Em meus mais de vinte anos de codificação pesada tenho uma certeza: a maior parte dos programadores está mais preocupada em aprender novas tecnologias e linguagens do que estabelecer uma base sólida de segurança, desempenho e privacidade.
Em tempos de LGPD, no entanto, diferindo do conto dinamarquês citado no início do texto, não será uma criança que perceberá que o rei está nu. Será um caos de incidentes digitais que irá evidenciar o que nos esforçamos para não ver: no que tange a práticas seguras, o programador brasileiro está NULL. Andersen é pouco lido, ninguém liga mais para sua pena. Mas agora, porque não sabemos para qual lado ou com que peso baterá o martelo dos juízes, é com outras penas que devemos nos preocupar.
Precisamos empreender ações de grande alcance para cultivar em nossos programadores uma "mentalidade segura". Não devemos de maneira nenhuma esquecer que segurança é função de toda a companhia, todos devem ser envolvidos nos treinamentos e englobados pelas políticas. Mas de nada adiantará treinarmos do porteiro ao presidente se a equipe que constrói nossos softwares não se atentar a importância de proteger by design e by default, os softwares que produzem.
William Pamplona, Chief Technology Officer da Auto Avaliar.
Infelizmente é a triste realidade. Os desenvolvedores são um reflexo do mercado que os "cria".