Aprendizado e descoberta 4min de Leitura - 24 de maio de 2022

O que é Security by Design?

security by design

This post is also available in: Português

Apesar da grande quantidade de empresas que continua sofrendo ataques cibernéticos, pode-se dizer que os gestores hoje estão muito mais conscientes de que precisam adotar as mais recentes tecnologias e inovar para manterem seus negócios protegidos dos crackers. Afinal, com uma extensa gama de softwares e serviços à sua disposição, os invasores virtuais estão sempre explorando quaisquer pontos fracos que as proteções da empresa possam ter.

No caso de uma invasão, uma das consequências mais graves é a perda financeira, por conta de sistemas danificados, possíveis resgates a serem pagos aos cibercriminosos (prática não recomendada), novos investimentos em tecnologia e reputação manchada. Para piorar, o alvo desses ataques cibernéticos não se limita a empresas, pois estende-se também a governos, uma vez que seus sistemas também estão online e estão expostos ao mesmo conjunto de vulnerabilidades que a iniciativa privada.

Um dos problemas é que muitas empresas adotam uma abordagem reativa em relação à segurança cibernética, respondendo apenas quando ocorre um ataque cibernético – ou quando existem multas envolvidas. Também acontecem casos em que as empresas recorrem à adição de ferramentas de segurança em sistemas existentes ao invés de ter segurança incorporada em novos produtos e serviços com base no cálculo prévio dos riscos do negócio.

Situações assim favoreceram o surgimento do conceito de Security By Design. Traduzindo, significa “Segurança por Design”, e garante que os controles de segurança sejam incorporados ao projeto de um produto nas fases iniciais de concepção, e não no meio do seu desenvolvimento – muito menos quando estiver já pronto. Essa abordagem reduz a probabilidade de violações de segurança cibernética e se tornou comum no desenvolvimento de produtos.

Chama a atenção nessa metodologia o fato de permitir inovar com confiança e, ao mesmo tempo, minimizar e gerenciar os riscos decorrentes de ataques cibernéticos. A segurança por design é uma abordagem estratégica, pró-ativa e prática que considera os riscos e a segurança desde o início de uma iniciativa ou produto, em vez de adicioná-los posteriormente, e gera a confiança em todas as etapas.

Vantagens do Security By design

  • Security By design ajuda as empresas a protegerem dispositivos conectados, dados confidenciais e pessoais à medida que novos aplicativos e produtos estão sendo desenvolvidos;
  • As empresas tornam-se capazes de identificar suas vulnerabilidades e falhas de segurança existentes antecipadamente com a ajuda do Security by Design, evitando problemas que poderiam ter ocorrido posteriormente;
  • Aumenta a confiança das empresas em seus próprios sistemas, dados e informações, permitindo-lhes assumir com confiança projetos inovadores;
  • O Security by Design traz em si a flexibilidade de modificar o sistema ou as configurações somente quando as atualizações são necessárias, em vez de acontecer em cada pequena alteração.

Princípios

  • 1. Minimiza a área de superfície de ataque
    • Toda vez que um programador adiciona um recurso ao software, o risco de vulnerabilidade de segurança aumenta. O princípio de minimizar a área de superfície de ataque restringe as funções que os usuários podem acessar, para reduzir potenciais vulnerabilidades. O programador ao desenvolver a aplicação deve fazê-lo de forma que o acesso às funcionalidades seja limitado aos usuários registrados, reduzindo assim a superfície de ataque e o risco de uma invasão bem-sucedida.

      • 2. Fornecendo privilégios mínimos

      Os usuários devem ter apenas a autorização mínima necessária para realizar suas tarefas. Por exemplo, se um usuário deve fazer apenas algumas atualizações em um site, esse usuário não deve ter direitos administrativos, como adicionar e remover usuários.

      • 3. Sistemas à parte

      Os cibercriminosos podem tentar escalar privilégios e tentar acessar outros sistemas após serem bem-sucedidos no ataque. Portanto, estes devem ser separados uns dos outros. Por exemplo, o servidor Web e o banco de dados devem estar em locais separados para que, se um servidor for invadido, o invasor não consiga acesso facilitado ao banco de dados.

      • 4. Informações confidenciais devem ser criptografadas

      Com os dados cada vez mais armazenados na nuvem, as organizações não têm controle total sobre o armazenamento e processamento dos mesmos. Por isso, é importante criptografar todos os dados confidenciais para que, mesmo que um cibercriminoso tenha acesso ao sistema, ele não consiga acessar os dados.

      • 5. Atualize e teste regularmente

      Os sistemas precisam ser atualizados com as versões mais recentes. O motivo é que as falhas de segurança precisam ser corrigidas o mais rápido possível. A segurança e a vulnerabilidade dos sistemas devem ser revisadas por meio de verificações continuas de segurança.

      • 6. Defesa em profundidade

      Esse método incorpora várias maneiras de tornar um produto seguro do ponto de vista da segurança. Por exemplo, para transferência de fundos, certos sites bancários – além de solicitar que os usuários insiram suas credenciais de login – também solicitam que o PIN de uso único (OTP) enviado ao celular seja inserido. O processo de transferência de fundos também implementa uma verificação de endereço IP e detecção de força bruta.

      • 7. Serviços de terceiros não necessariamente são confiáveis

      Os aplicativos da Web que dependem de serviços de terceiros para funcionalidade/dados adicionais devem sempre verificar a validade dos dados que esses serviços fornecem e não conceder permissões de alto nível a esses serviços dentro do aplicativo.

      • 8. Mantenha a segurança simples

      A arquitetura deve ser simples ao desenvolver controles de segurança para o aplicativo. Sistemas complexos são difíceis de corrigir quando ocorrem erros, e a solução de problemas pode ser demorada, o que oferece uma oportunidade para os cibercriminosos explorarem, colocando o aplicativo em maior risco.

      This post is also available in: Português