Cultura do desenvolvimento seguro na pauta do negócio

A série de ataques de ransomware entre o ano passado e mais fortemente em 2021 abriu caminho para uma cultura de código seguro, onde as organizações estão enxergando que não há mais espaço para desenvolvimento de aplicações sem respeitar padrões e boas práticas de segurança da informação. Portanto, falar sobre conscientização de colaboradores vai muito além da educação sobre como é possível driblar um phishing, mas imprimir uma cultura que começa na concepção de uma ideia num universo de inovação e celeridade exigida pelo negócio. E essa percepção já está no board, uma vez que três fatores estão impulsionando a criação de uma nova mentalidade nas empresas (Pandemia, ataques de ransomware, home office). Já é sabido que essa é a tempestade perfeita para abrir portas e desembocar no vazamento de dados, o que impacta financeiramente, na reputação e em todo um ecossistema, o que no final do dia resultada em uma palavra: confiança ou a desconfiança.

Em entrevista exclusiva para o SocialSec, dois especialistas da GeneXus, Eugenio Garcia, gerente de produtos da GeneXus Suite; e Gerardo Canedo, gerente de serviços de Segurança da GeneXus Consulting, abordam o tema alertando sobre os benefícios do DevSecOps

Socialsec: Como os ataques de ransomware têm impactado no desenvolvimento de aplicações?

Genexus (Geralro): Os ataques de ransomware impactam fortemente a continuidade operacional das organizações. Sob um ataque de ransomware, uma organização é impedida de acessar informações vitais para sua operação. Houve casos em que hospitais tiveram que fechar por não conseguirem acessar as informações dos pacientes.

Quanto aos aplicativos, eles são afetados de duas maneiras:

  1. podem ser usados ​​como um vetor de ataque para uma organização, ou seja, por meio de uma vulnerabilidade de aplicativo, um invasor pode executar um ransomware que afeta toda a infraestrutura;
  2. pode afetar os aplicativos se um ataque em progresso é bem-sucedido na criptografia das fontes de dados usadas, ou seja, sistemas de arquivos, bancos de dados etc.

É vital evitar esses riscos para projetar, desenvolver e analisar os aplicativos para que eles não tenham vulnerabilidades que possam dar origem a esses ataques. Também é muito importante estabelecer políticas de backup e de recuperação de desastres para voltar ao normal (Business as Usual) o mais rápido possível se formos atacados com sucesso.

Socialsec: Qual a tendência de desenvolvimento de aplicações do ponto de vista de segurança da informação e privacidade?

GeneXus (Gerardo): A tendência que tem se mostrado econômica e eficiente em termos de entrega de software (tempo de chegada ao mercado) é implementar um Ciclo de Vida de Desenvolvimento de Software Seguro (SSDLC). Desde a concepção da aplicação, os aspectos de segurança e de privacidade devem ser levados em consideração para construir o software de forma que seu desenho antecipe diferentes tipos de ataques e ameaças.

Durante a sua construção, devem ser planejadas e executadas tarefas cujo objetivo é garantir o grau de segurança exigido. A abordagem de apenas realizar um Teste de Penetração (Hacking Ético) depois que o software é construído provou ser ineficiente e potencialmente ineficaz, pois envolve um retrabalho que poderia ter sido executado no início do ciclo de desenvolvimento. Também pode ser ineficaz porque em um hacking ético, o profissional apenas analisa o que vê, deixando de lado potenciais vulnerabilidades que circunstancialmente não foram descobertas

Socialsec: Como o mercado deve se preparar no sentido de desenvolvimento de aplicações quando a inovação é lançada para um ecossistema, por exemplo, no B2B (a exemplo de empresas como a Atento).

GeneXus (Gerardo): A segurança no desenvolvimento de aplicações deve estar presente desde o momento em que começamos a projetá-la e durante o processo de desenvolvimento, validação e implantação. Ou seja, devemos treinar e dar ferramentas aos nossos desenvolvedores para que o que é produzido seja o mais seguro possível, pois isso incorporamos em nossos controles de qualidade atividades destinadas a descobrir vulnerabilidades no que desenvolvemos desde os estágios iniciais e, finalmente, devemos incorporar nossos processos automatizados para validações de segurança CI / CD conforme proposto pelos padrões OWASP. No momento da implantação, a arquitetura final deve ser projetada para que as diferentes camadas de nosso sistema sejam executadas sem perder de vista as considerações de segurança em cada uma dessas camadas.

O impacto de não adotar esse critério pode fazer com que um software totalmente desenvolvido não possa ser colocado em produção devido às suas vulnerabilidades, o que impacta diretamente o Time To Market, tornando a organização incapaz de responder em tempo hábil às necessidades do negócio.

Em um contexto B2B, acrescenta-se que as vulnerabilidades de um parceiro podem afetar seriamente outro na cadeia de fornecimento e valor. Uma vulnerabilidade em outro sistema pode nos impedir de realizar vendas, expor nossos dados de clientes e até mesmo afetar nossa imagem e reputação.

Socialsec: De que maneira a Genexus está tratando o desenvolvimento seguro e o privacy by design para seus clientes?

GeneXus (Eugenio): A GeneXus, como plataforma Low-Code, tem a visão de automatizar tudo o que pode ser automatizado no processo de desenvolvimento de software. Seguindo esta visão é que se resolva automaticamente no código que gera problemas de segurança como SQL Injection ou Cross Site Scripting para que a aplicação final gerada em GeneXus seja o mais segura possível sem adicionar complexidade ao desenvolvedor.

Por outro lado, a GeneXus possui um módulo de segurança que resolve a autenticação e a autorização das aplicações. Desta forma, com muito pouco esforço, é possível garantir o acesso a todos os pontos de entrada da aplicação que está sendo desenvolvida em GeneXus e, por sua vez, verificar as permissões de acesso aos recursos da aplicação. Este módulo, por sua vez, permite autenticar com qualquer Provedor de Identidade externo por meio dos protocolos OAuth 2.0, SAML 2.0 e OpendId Connect, o que dá muita flexibilidade para realizar integrações seguras com outros sistemas existentes.

Isso não significa que desenvolvedores e arquitetos não devam tratar de questões de segurança. Um exemplo disso é realizar um modelo de ameaça para entender as necessidades de segurança do aplicativo a ser desenvolvido. Com GeneXus é possível obter elevados padrões de segurança com pouco esforço, atendendo a padrões altamente adotados pela indústria como OWASP ASVS, OWASP MASVS (para aplicações móveis) e OWASP Top 10

Socialsec: Quais recomendações de segurança da informação no que se refere a desenvolvimento de código a Genexus aplica?

GeneXus:(Eugenio) A GeneXus segue as diretrizes do OWASP Top 10, OWASP ASVS e OWASP MASVS no que se refere ao código gerado e são feitas revisões contínuas do código gerado e também de hacking ético nas diferentes aplicações geradas no GeneXus.

Em relação ao que não é automatizável (análise ou determinação da arquitetura e da solução para a necessidade do negócio) ou que faz parte da implantação de um aplicativo, recomendamos adotar as melhores práticas do setor como: modelagem de ameaças, definição de casos de abuso, análise estática de código dentro da ferramenta (GeneXus Security Scanner), automação de testes de controle de acesso (papéis e permissões correspondentes) e testes de segurança na plataforma de implantação em busca de configurações inseguras na pilha de tecnologia. Em uma aplicação desenvolvida com GeneXus, a implementação dessas atividades exige menos esforço do que implementá-las em uma linguagem de programação tradicional.

Recentemente assinamos um acordo como Technology Partner com Veracode, o que nos permite integrar as ferramentas da plataforma líder em análise estática e dinâmica de código, como o Veracode, no processo de desenvolvimento de GeneXus. Com isso, buscamos não só garantir os controles de qualidade do que produzimos em Genexus, mas também facilitar a vida de nossos clientes que utilizam esta plataforma para validar suas aplicações geradas em GeneXus.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *