This post is also available in: Português Español
Apesar da grande quantidade de empresas que continua sofrendo ataques cibernéticos, pode-se dizer que os gestores hoje estão muito mais conscientes de que precisam adotar as mais recentes tecnologias e inovar para manterem seus negócios protegidos dos crackers. Afinal, com uma extensa gama de softwares e serviços à sua disposição, os invasores virtuais estão sempre explorando quaisquer pontos fracos que as proteções da empresa possam ter.
No caso de uma invasão, uma das consequências mais graves é a perda financeira, por conta de sistemas danificados, possíveis resgates a serem pagos aos cibercriminosos (prática não recomendada), novos investimentos em tecnologia e reputação manchada. Para piorar, o alvo desses ataques cibernéticos não se limita a empresas, pois estende-se também a governos, uma vez que seus sistemas também estão online e estão expostos ao mesmo conjunto de vulnerabilidades que a iniciativa privada.
Um dos problemas é que muitas empresas adotam uma abordagem reativa em relação à segurança cibernética, respondendo apenas quando ocorre um ataque cibernético – ou quando existem multas envolvidas. Também acontecem casos em que as empresas recorrem à adição de ferramentas de segurança em sistemas existentes ao invés de ter segurança incorporada em novos produtos e serviços com base no cálculo prévio dos riscos do negócio.
Situações assim favoreceram o surgimento do conceito de Security By Design. Traduzindo, significa “Segurança por Design”, e garante que os controles de segurança sejam incorporados ao projeto de um produto nas fases iniciais de concepção, e não no meio do seu desenvolvimento – muito menos quando estiver já pronto. Essa abordagem reduz a probabilidade de violações de segurança cibernética e se tornou comum no desenvolvimento de produtos.
Chama a atenção nessa metodologia o fato de permitir inovar com confiança e, ao mesmo tempo, minimizar e gerenciar os riscos decorrentes de ataques cibernéticos. A segurança por design é uma abordagem estratégica, pró-ativa e prática que considera os riscos e a segurança desde o início de uma iniciativa ou produto, em vez de adicioná-los posteriormente, e gera a confiança em todas as etapas.
Vantagens do Security By design
- Security By design ajuda as empresas a protegerem dispositivos conectados, dados confidenciais e pessoais à medida que novos aplicativos e produtos estão sendo desenvolvidos;
- As empresas tornam-se capazes de identificar suas vulnerabilidades e falhas de segurança existentes antecipadamente com a ajuda do Security by Design, evitando problemas que poderiam ter ocorrido posteriormente;
- Aumenta a confiança das empresas em seus próprios sistemas, dados e informações, permitindo-lhes assumir com confiança projetos inovadores;
- O Security by Design traz em si a flexibilidade de modificar o sistema ou as configurações somente quando as atualizações são necessárias, em vez de acontecer em cada pequena alteração.
Princípios
- 1. Minimiza a área de superfície de ataque
- 2. Fornecendo privilégios mínimos
- 3. Sistemas à parte
- 4. Informações confidenciais devem ser criptografadas
- 5. Atualize e teste regularmente
- 6. Defesa em profundidade
- 7. Serviços de terceiros não necessariamente são confiáveis
- 8. Mantenha a segurança simples
Toda vez que um programador adiciona um recurso ao software, o risco de vulnerabilidade de segurança aumenta. O princípio de minimizar a área de superfície de ataque restringe as funções que os usuários podem acessar, para reduzir potenciais vulnerabilidades. O programador ao desenvolver a aplicação deve fazê-lo de forma que o acesso às funcionalidades seja limitado aos usuários registrados, reduzindo assim a superfície de ataque e o risco de uma invasão bem-sucedida.
Os usuários devem ter apenas a autorização mínima necessária para realizar suas tarefas. Por exemplo, se um usuário deve fazer apenas algumas atualizações em um site, esse usuário não deve ter direitos administrativos, como adicionar e remover usuários.
Os cibercriminosos podem tentar escalar privilégios e tentar acessar outros sistemas após serem bem-sucedidos no ataque. Portanto, estes devem ser separados uns dos outros. Por exemplo, o servidor Web e o banco de dados devem estar em locais separados para que, se um servidor for invadido, o invasor não consiga acesso facilitado ao banco de dados.
Com os dados cada vez mais armazenados na nuvem, as organizações não têm controle total sobre o armazenamento e processamento dos mesmos. Por isso, é importante criptografar todos os dados confidenciais para que, mesmo que um cibercriminoso tenha acesso ao sistema, ele não consiga acessar os dados.
Os sistemas precisam ser atualizados com as versões mais recentes. O motivo é que as falhas de segurança precisam ser corrigidas o mais rápido possível. A segurança e a vulnerabilidade dos sistemas devem ser revisadas por meio de verificações continuas de segurança.
Esse método incorpora várias maneiras de tornar um produto seguro do ponto de vista da segurança. Por exemplo, para transferência de fundos, certos sites bancários – além de solicitar que os usuários insiram suas credenciais de login – também solicitam que o PIN de uso único (OTP) enviado ao celular seja inserido. O processo de transferência de fundos também implementa uma verificação de endereço IP e detecção de força bruta.
Os aplicativos da Web que dependem de serviços de terceiros para funcionalidade/dados adicionais devem sempre verificar a validade dos dados que esses serviços fornecem e não conceder permissões de alto nível a esses serviços dentro do aplicativo.
A arquitetura deve ser simples ao desenvolver controles de segurança para o aplicativo. Sistemas complexos são difíceis de corrigir quando ocorrem erros, e a solução de problemas pode ser demorada, o que oferece uma oportunidade para os cibercriminosos explorarem, colocando o aplicativo em maior risco.
This post is also available in: Português Español
