Num primeiro momento, pensar na conexão entre segurança da informação e inovação pode parecer pouco natural, já que em teoria se tratam de assuntos distintos. Afinal, um visa a mitigação de riscos, enquanto o outro exige um apetite de assumir riscos. Mas, na prática, precisam mesmo ser combinados e o segredo está numa técnica definida logo no início e refinada ao longo do ciclo de vida do produto. Continue lendo para descobrir qual :-)_
Enquadramento
Uma pesquisa disponibilizada recentemente pela Fortinet apontou que durante o primeiro semestre de 2021 o Brasil teve mais de 16,2 bilhões de tentativas de ataques cibernéticos, o dobro das invasões sofridas durante todo ano de 2020 (8,4bi). Sendo assim, o Brasil ocupa a 2ª colocação na lista de maiores alvos de crimes digitais na América Latina, atrás apenas do México – que já registrou somente neste ano mais de 60 bilhões de tentativas de ataques.
Dentre os mais comuns, estão os golpes de clonagem de Whatsapp, falsa URA de serviço bancário, bug do Pix e/ou adulteração de QR Code. Já em ambientes corporativos, os usuários estão mais expostos aos ataques do tipo ransomware, onde dados são sequestrados ou bloqueados e só são liberados mediante o pagamento de resgates. Essa modalidade tem comprometido a operação de diversas companhias no mundo, causando danos financeiros altíssimos.
Inovar com segurança
Tudo isto criou proporções e alertas tão grandes que impactam até quem ainda não tirou sua ideia do papel. Se tornou, mais do que nunca, um assunto para inovadores.
O desafio de hoje é assim como criar produtos digitais e alavancar a transformação digital considerando tecnologias inovadoras – como Nuvem, Internet das Coisas (IoT), Inteligência Artificial (AI), Big Data e Desenvolvimento de Aplicativos Móveis – de forma que atestem a segurança das informações e a proteção de dados. E isso não está restrito apenas a um conjunto de ferramentas e equipamentos: a segurança das informações vai além, usa processos e pessoas também como pilares fundamentais para um ambiente seguro.
Nos últimos anos o mercado tem encontrado maneiras de lançar serviços e produtos inovadores e, ao mesmo tempo, incorporar controles e mecanismos de segurança. Ao fazer isso, as empresas estão abrindo caminhos para novas experiências, oportunidades; robustecendo a segurança dos dados e das informações; e, não menos importante, se mantendo em conformidade com normas, padrões e regulamentos que vem se tornando cada vez mais rigorosos.
Da teoria à prática
A Modelagem de Ameaças (Threat Modeling) é uma prática essencial a aplicar desde a concepção e design de um produto ou serviço. Ela ajuda na identificação, comunicação e compreensão de possíveis ameaças que uma aplicação pode estar exposta. Sua vantagem é que pode ser usada em diferentes projetos, sejam eles relacionados a software, redes, processos de negócios e até mesmo de equipamentos/appliances.
Os modelos disponíveis pela Microsoft e OWASP são um ótimo caminho para quem busca referência ou deseja implementar o Threat Modeling no seu negócio. Mas, para facilitar a prática de tudo dito até aqui, criamos um guia com os 4 principais passos de segurança para considerar desde o primeiro dia da sua ideia:
- Ter uma visão clara de negócio/técnica do sistema;
- Mapear os serviços consumidos e possíveis falhas e ameaças;
- Corrigir as ameaças e recomendar controles de segurança;
- Validar e garantir que os requisitos e controles de segurança estão sendo cumpridos.
Conhecendo o que há por trás dos negócios, sabemos que as organizações que ignorarem a área de cibersegurança/privacidade de dados e não investirem em melhorias e adequações estarão vulneráveis a ataques e incidentes que podem comprometer toda operação, e até mesmo na recuperação e continuidade dela. Estes prejuízos e impactos são incalculáveis, já que estão relacionados a multas regulatórias, perda de eficiência operacional, indisponibilidade/interrupção de serviços e a perda de confiança no mercado.
Na Invillia levamos a segurança muito a sério. Sabemos que não é apenas um problema de insfraestrutura, é um problema de desenvolvimento. A nossa Global Growth Framework agrega um conjunto avançado e rigoroso de ferramentas, processos e know-how para garantir que qualquer inovação é segura logo na origem. Em que a prioridade é a prevenção e não a reação. Data, People e Action incrementando em performance, qualidade e segurança a criação e o desenvolvimento de produtos e serviços digitais.
Vamos desenvolver juntos seu próximo aplicativo super seguro?
Fintech, Regtech, Govtech, Biotech, Healthtech, Agritech, Mediatec, Hometech, Edtech, Anytech_ conte conosco_
Por Mario Akamine, Cybersecurity Manager na Invillia
