O terceiro dia do Mind The Sec 2021 não fugiu à regra do evento de oferecer dezenas de palestras de alto nível, e, nesta quarta-feira (15), tivemos o keynote de Judy Ngure, líder de engenharia de segurança cibernética da Africa’s Talking e fundadora da iniciativa Women of Security Kenya — um movimento que visa preparar mulheres do Quênia para adentrar no mercado de segurança da informação, bastante rígido no país africano. Falando diretamente de Nairóbi, Judy comentou sobre segurança de aplicações web.
- MTS21 | Analista do TSE revela os bastidores dos Testes Públicos de Segurança da urna eletrônica
- MTS21 | Carros autônomos vieram para nos salvar, mas estão nos matando
- MTS21 | A história da cibersegurança, na prática
O termo mais apropriado a ser usado, aliás, é AppSec — a prática de proteger os ativos de seus consumidores e de empresas, que invariavelmente, nos dias atuais, estão armazenadas em apps na web. “Trata-se da arte de proteger aplicações, sejam aplicativos web ou de celular, qualquer coisa que se integre ao navegador ou com o que o usuário possa interagir. Os aplicativos às vezes são feitos para usuários das empresas e também existem os construídos para usuários externos”, explica a palestrante.
A especialista dividiu o processo de AppSec em duas partes fundamentais: as ferramentas e os processos. E, embora ela mesma tenha confessado que é impossível garantir que um app esteja 100% seguro, é importante que as equipes de desenvolvimento tenham em mente que “não é impossível saber, e até mesmo compreender, as vulnerabilidades que as empresas podem enfrentar e identificar onde estão os pontos frágeis, onde eles não estão, como você protegeu o aplicativo e o que não conseguiu proteger”.
Planejando os procedimentos
Primeiro, vamos aos processos, onde efetivamente encontramos, corrigimos e prevenimos vulnerabilidades, com foco nas dinâmicas da aplicação em questão. Judy explica que é crucial se atentar aos detalhes: com qual linguagem o app foi desenvolvido? Quais são os endpoints (APIs) usados? Quais são as outras tecnologias conectadas à aplicação? Qual é a infraestrutura por trás de tudo isso? “No mundo dos apps, as coisas mudam todos os dias. Os códigos mudam, o ambiente de aplicativos web muda e isso afeta tudo”, comenta.
“Você também precisa entender o que é mais crítico para o seu negócio. Você pode estar em uma indústria na qual o aplicativo, por si só, não afeta tanto o seu negócio. Dessa forma, mesmo caso ele fosse danificado, parte de sua reputação poderia ser perdida, mas o core business em si não seria afetado. Mas, se você for uma empresa que depende muito do aplicativo — como uma fintech, que se baseia naquele software —, se algo acontecer a ele, isso poderia prejudicar muito os seus negócios”, aponta Judy.
Claro, a questão mais importante é: como corrigir? “A maioria das pessoas e empresas seguem uma abordagem sistemática na qual agrupam as vulnerabilidades ou os problemas com base em o quão críticos eles são. Você pode agrupá-los de acordo com o impacto corporativo ou de acordo com o impacto técnico”, sugere a programadora, ressaltando a necessidade de criar políticas fixas de tempo limite para corrigir falhas de acordo com sua gravidade. “É preciso resolvê-las antes que se tornem mais graves”.
Escolha suas armas!
E sobre as ferramentas? Temos uma série de soluções disponíveis no mercado que podem ajudar as equipes de desenvolvimento e impulsionar uma cultura de DevSecOps; porém, como bem observado por Judy, é crucial entender a estrutura da sua empresa, analisar sua força-tarefa de segurança e levar em conta o orçamento disponível. O processo de desenvolvimento, a infraestrutura atual e a disponibilidade do time também são fatores cruciais para que sua companhia não perca tempo e dinheiro com recursos desnecessários.
“Hoje em dia, temos tantas ferramentas no mercado que se tornou muito difícil saber realmente quais delas usar e quais não usar. Uma ferramenta pode resolver um problema que você acha que o seu negócio precisa, ou você pode pensar que certa ferramenta que todo mundo está usando deve ser a escolha certa, já que ela deve ser boa para algo. Mas a verdade é que suas ferramentas precisam fazer sentido para a realidade da sua empresa”, conclui a especialista.
Ainda dá tempo de adquirir seu ingresso com desconto exclusivo da The Hack! Confira a programação completa do Mind The Sec 2021 e inscreva-se através deste link (usando nosso código ADTHDC-KSEYNQ você ganha 15% de desconto!) e continue acompanhando a The Hack para conferir a nossa cobertura completa do evento!