Segurança , Transformação Digital

O que é Security by Design?

16/04/2020

Tempo estimado de leitura: 3 minutos

Você conhece o conceito de Security by Design e como ele pode ser aplicado no seu negócio? Essa abordagem tem tido um papel cada vez mais relevante nas empresas. Até porque, elas lidam diariamente com dados, em sua maior parte, gerados por dispositivos conectados.

E sabemos bem que dados são a principal fonte para a criação de novos produtos e serviços. São essas soluções, baseadas em tecnologia e inovação, que vão trazer produtividade aos seus colaboradores, ou até mesmo uma experiência do cliente diferenciada.

No entanto, nessa jornada de transformação digital, em qual momento você olha para a segurança de TI?

Garantir a segurança dos projetos de inovação tem sido uma grande dor de cabeça para as empresas. Já que, para muitas delas, definir as camadas de proteção não é prioridade quando uma nova solução é desenvolvida.

Um resultado prévio do EY Global Information Security Survey 2020, com 1.300 líderes de segurança cibernética, mostrou que 65% das empresas só consideram a segurança depois que um incidente acontece.

Então, como considerar o fator segurança desde o início do projeto? É aí que entra o Security by Design e nos próximos tópicos você vai entender o porquê.

Entendendo o conceito de Security by Design?

segurança do hardware e software deve ser prioridade em todo projeto de uma empresa, como já explicamos neste blog post do Mundo + Tech. Mas, ao invés de desenhá-la somente quando uma solução estiver pronta, ela deve ser planejada ainda nos estágios iniciais.

Esse pode ser um resumo de Security by Design. É desenvolver um hardware ou software a ponto de tornar esses sistemas o mais livre possível de vulnerabilidades ao trabalhar alguns requisitos desde as primeiras etapas do projeto:

  • Realização de testes contínuos de segurança da solução.
  • Adoção de medidas mais seguras de autenticação (limitar quem pode mexer no projeto).
  • Adoção das melhores práticas de programação para evitar vulnerabilidades.

Assim, quando você adota essa abordagem, é possível minimizar as falhas de segurança que podem comprometer a sua solução e, consequentemente, levar a perdas financeiras e de reputação.

Vale destacar que esse conceito pode ser chamado por vários nomes: “design de segurança”“garantido por design”“construir em segurança”. Porém, todos remetem a mesma abordagem: projetar um produto pensando, desde o início, na conformidade.

Design de segurança vai além da IoT

É bem comum que se associe essa abordagem à Internet das Coisas (IoT). Como alguns dispositivos conectados têm o custo baixo, principalmente os usados na indústria e agronegócio, não há muitas camadas de segurança quando eles estão coletando dados.

No entanto, estamos em um momento que muitas empresas apostam também em Inteligência Artificial e Machine Learning para alavancar seus negócios. São tecnologias emergentes utilizadas de suas formas: com e sem supervisão de um agente humano.

O problema é que muitos líderes não se atentam à integridade dos dados que alimentam esses sistemas. Isso pode abrir uma brecha para cibercriminosos manipularem os algoritmos, corrompendo os resultados.

Imagine uma solução de IA utilizada para detectar câncer. Em caso de vulnerabilidade, cibercriminosos podem adulterar o algoritmo para que ele ignore sinais da doença. Por isso, uma abordagem por design pode evitar essa manipulação dos dados, já que a TI pode implantar protocolos de gestão de dados, identidade e acesso na base do sistema de IA utilizado.

E quanto aos testes de penetração?

Os pentests (testes de penetração) são ataques simulados e autorizados em um sistema de computador. Esse tipo de ação ocorre para avaliar a segurança dos sistemas de uma empresa e descobrir se há vulnerabilidades.

Embora seja um ataque ético que possa ser feito de forma manual, automática ou combinada, ele é realizado quando o sistema de uma empresa já está no ar. Em outras palavras, você pode descobrir que há muitas vulnerabilidades que precisem de atenção.

Porém, quando uma solução já está disponível e é preciso gerar atualizações para consertar as vulnerabilidades encontradas, há uma grande chance de “tapar a peneira com o sol”. Ou seja, inviabilizar uma brecha de segurança em uma atualização pode gerar outra.

Assim, pentests devem ser vistos como um complemento da Security by Design. Talvez um jeito mais fácil seja deixar a equipe de TI responsável pelas práticas contínuas de segurança, enquanto empresas especializadas em testes de penetração façam essa avaliação periodicamente.

Segurança não pode ser vista como produto

O cenário atual pede atenção redobrada com a segurança dos dispositivos e soluções de uma empresa. Só em 2019, empresas brasileiras foram alvo de mais de 24 bilhões de tentativas de ataques cibernéticos.

Com a pandemia do coronavírus, empresas estão atuando no modelo home office enquanto outras começam a adotar soluções digitais para continuarem relevantes no mercado. Porém, a questão da segurança não deve ser “escanteada” nesse processo de transformação digital.

Por fim, cibercriminosos já utilizam o coronavírus como gatilho para ataques cibernéticos, cada vez mais aprimorados com o uso de IA e Machine Learning. Então, a Security by Design é o meio de proteger os ativos de uma empresa, que não pode ver mais a segurança como produto e sim como processo.

Principais destaques desta matéria

  • Security by Design é um conceito que visa reduzir falhas de segurança em uma solução.
  • Abordagem procura falhas e vulnerabilidades da solução desde os primeiros estágios de desenvolvimento.
  • Testes de penetração, ou pentests, podem ser complementares ao conceito de segurança por design.

Compartilhe:

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *