Security by Design

O que é Security by Design?

5 minutos de leitura

Conceito envolve testes para encontrar vulnerabilidades desde os primeiros estágios de desenvolvimento de uma solução



Por Redação em 03/05/2022

Você conhece o conceito de Security by Design e como ele pode ser aplicado no seu negócio? Essa abordagem, que significa pensar em segurança desde o escopo de desenvolvimento de um novo software, prevendo toda possibilidade de riscos aos quais a aplicação pode estar sujeita, tem tido um papel cada vez mais relevante nas empresas, uma vez que os dados (e sua análise) são fundamentais para a definição de estratégias corporativas, criação de novos produtos ou serviços. 

Vale explicar que esses dados, em sua maior parte, são gerados por dispositivos conectados e representam uma importante fonte para novas estratégias corporativas. Afinal, tais soluções, baseadas em tecnologia e inovação, proporcionam uma experiência do cliente diferenciada, além de incentivar a colaboração e comprometimento dos colaboradores.

Veja o que você vai encontrar nessa matéria. Clique nos links para ir diretamente ao tópico de seu interesse:

Security by design depende da segurança das informações

No entanto, para colocar em prática o conceito de Security by Design, é imperativo que as organizações criem estruturas que possam garantir a segurança das informações. 

Um vazamento de dados, hoje, representa não apenas a perda de informações estratégicas para o negócio, mas também o risco de autuação, conforme as penalidades previstas na Lei Geral de Proteção de Dados Pessoais (LGPD), além de, potencialmente, comprometerem a imagem da empresa perante seus clientes, fornecedores e toda a comunidade. Assim, é imprescindível avaliar: nessa jornada de transformação digital, em qual momento os gestores olham para a cibersegurança?

Segurança tem se mostrado cada vez mais relevante

Garantir a segurança dos projetos de inovação tem sido uma grande dor de cabeça para as empresas, já que, para muitas delas, definir as camadas de proteção não é prioridade quando uma nova solução é desenvolvida.

Em 2020, o EY Global Information Security Survey, pesquisa realizada com 1,3 mil líderes de segurança cibernética, mostrava que 65% das empresas só consideram a segurança depois que um incidente acontece. Dois anos depois, considerando todos os processos de transformação digital que ocorreram durante a pandemia, muitas organizações ainda apontam a falta de segurança como um entrave ao crescimento.

Para efeito de comparação, no final de abril de 2022, a Fortinet divulgou o Relatório de Lacunas de Habilidades em Segurança Cibernética de 2022. O documento, que avaliou opiniões de mais de 1,2 mil tomadores de decisão de TI e Cibersegurança de diversos segmentos, em 29 países – incluindo Brasil –, destaca que a escassez de soluções na região ainda causa diversos desafios e repercussões para o setor corporativo, incluindo a ocorrência de violações de segurança e, consequentemente, perda de dinheiro.

De acordo com dados do novo relatório, na América Latina 70% das empresas afirmaram terem sofrido de uma a quatro violações de segurança nos últimos 12 meses, e 17% delas confirmaram mais de cinco invasões. Cada um desses ataques custou até US$ 1 milhão para os negócios (segundo 37% dos entrevistados), sendo que 26% apontaram prejuízos superiores a esse montante. A pesquisa ainda indicou que 64% dos executivos acreditam que a lacuna de habilidades em cibersegurança contribui para o aumento do risco cibernético de suas organizações.

Diante desse risco, que pode comprometer todos os resultados de investimento da empresa, como considerar o fator segurança desde o início do projeto? É aí que entra o Security by Design. Nos próximos tópicos você vai entender o porquê.

Entenda o conceito de Security by Design

A segurança, tanto do hardware quanto do software, deve ser prioridade em todo projeto de uma empresa. Mas, ao invés de desenhá-la somente quando uma solução estiver pronta, ela deve ser planejada ainda nos estágios iniciais.

Esse pode ser um resumo de Security by Design. É desenvolver um hardware ou software a ponto de tornar esses sistemas o mais livres possível de vulnerabilidades, trabalhando requisitos desde as primeiras etapas do projeto:

  • realização de testes contínuos de segurança da solução.
  • adoção de medidas mais seguras de autenticação (limitar quem pode mexer no projeto).
  • adoção das melhores práticas de programação para evitar vulnerabilidades.

Assim, quando uma empresa adota essa abordagem, consegue minimizar as falhas de segurança que podem comprometer a sua solução e, consequentemente, evitar perdas financeiras e de reputação.

Vale destacar que esse conceito pode ser chamado por vários nomes, como “design de segurança”, “garantido por design”ou “construir em segurança”. Porém, todos remetem a mesma abordagem: projetar um produto pensando, desde o início, na conformidade.

Design de segurança vai além da IoT

É bem comum que se associe essa abordagem à Internet das Coisas (IoT). Como alguns dispositivos conectados têm o custo baixo, pode não haver muitas camadas de segurança quando eles estão coletando dados.

No entanto, estamos em um momento em que muitas empresas apostam também em Inteligência Artificial e Machine Learning para alavancar seus negócios. São tecnologias emergentes utilizadas de duas formas: com e sem supervisão de um agente humano.

O problema é que muitos líderes não se atentam à integridade dos dados que alimentam esses sistemas. Isso pode abrir uma brecha para cibercriminosos manipularem os algoritmos, corrompendo os resultados.

Imagine uma solução de IA utilizada para detectar câncer. Em caso de vulnerabilidade, cibercriminosos podem adulterar o algoritmo para que ele ignore sinais da doença. Por isso, uma abordagem por design pode evitar essa manipulação dos dados, já que a TI pode implantar protocolos de gestão de dados, identidade e acesso na base do sistema de IA utilizado.

E quanto aos testes de penetração?

Os pentests (testes de penetração) são ataques simulados e autorizados em um sistema de computador. Esse tipo de ação ocorre para avaliar a segurança dos sistemas de uma empresa e descobrir se há vulnerabilidades.

Embora seja um ataque ético, que pode ser feito de forma manual, automática ou combinada, ele é realizado quando o sistema de uma empresa já está no ar. Em outras palavras, ao realizá-lo, as empresas podem descobrir que há muitas vulnerabilidades que precisam de atenção.

Porém, quando uma solução já está disponível e é preciso gerar atualizações para consertar as vulnerabilidades encontradas, há uma grande chance de que inviabilizar eventuais brechas de segurança possa criar outras.

Assim, pentests devem ser vistos como um complemento da Security by Design. Talvez um jeito mais fácil seja deixar a equipe de TI responsável pelas práticas contínuas de segurança, enquanto empresas especializadas em testes de penetração façam essa avaliação periodicamente.

Segurança não pode ser vista como produto

O cenário atual pede atenção redobrada com a segurança dos dispositivos e soluções de uma empresa. Só em 2019, empresas brasileiras foram alvo de mais de 24 bilhões de tentativas de ataques cibernéticos. Em 2021, um levantamento global, da consultoria Accenture, identificou uma alta de 31% nos ataques cibernéticos na comparação com o ano anterior, sendo que 11% deles foram bem-sucedidos, ou seja, afetaram o sistema das companhias, garantindo acesso não autorizado de dados, aplicativos, serviços, redes ou dispositivos.

Uma das razões disso é que muitas empresas passaram a atuar no modelo home office ou híbrido, enquanto outras começam a adotar soluções digitais para continuarem relevantes no mercado. Porém, a questão da segurança não deve ser “escanteada” nesse processo de transformação digital.



Matérias relacionadas

lte 5g privado Conectividade

IDC estima que LTE/5G privado atingirá US$ 8,3 bilhões até 2026

Estimativa foi feita pela IDC, que apontou uma taxa de crescimento anual composta (CAGR) de cinco anos de 35,7% no período de 2022 a 2026

Odelio Horta Conectividade

Ensino híbrido é um caminho sem volta

A pandemia acelerou a necessidade de soluções para ensino remoto, e, na visão de Odélio Horta Filho, as novas ferramentas vieram para ficar

Conectividade

5G habilita tecnologias existentes para a indústria 4.0

Internet das Coisas, Inteligência Artificial, Machine Learning e Realidade Aumentada se tornarão realidade na indústria com o 5G

as a service Conectividade

Com modelos “as a service”, 5G habilita avanço da Indústria 4.0

Com implementações “as a service”, a maior velocidade de conexão e baixa latência do 5G apoiam aplicações maduras na indústria 4.0