Times tech e DPO atuam na co-criação de soluções seguras

O desenvolvimento de um software seguro é uma pauta comum para as empresas que buscam desenvolver soluções, produtos e serviços de nível empresarial e comercial. Aplicar políticas e procedimentos visa reduzir brechas e manter a integridade e confidencialidade dos seus dados, bem como garantir a segurança dos seus usuários.

O desenvolvimento de um software seguro é uma pauta comum para as empresas que buscam desenvolver soluções, produtos e serviços de nível empresarial e comercial. Aplicar políticas e procedimentos visa reduzir brechas e manter a integridade e confidencialidade dos seus dados, bem como garantir a segurança dos seus usuários.

De acordo com um estudo global da Tenable divulgado pelo Security Report, o temor com a segurança cibernética é maior que as incertezas das variações macroeconômicas, já que “garantir um ambiente seguro para o usuário é um pré-requisito na economia digital”. Segundo dados de outra pesquisa da organização, 40,4 bilhões de vazamentos de dados ocorreram no mundo em 2021. Destes, 815 milhões ocorreram no Brasil – um crescimento de 78% no total de registros expostos no período.

“Com o aumento da complexidade dos sistemas e a crescente ameaça de ataques cibernéticos, é fundamental que organizações adotem políticas de segurança robustas para proteger os seus ativos”, afirma Alexandre Antabi, diretor da Macher Tecnologia.

Ele explica que as políticas para desenvolvimento de software seguro são um conjunto de procedimentos, diretrizes e práticas que garantem que diferentes aspectos de segurança do software sejam levados em conta durante todo o ciclo de vida do produto – desde a idealização até a implementação em produção e posterior monitoramento.

Antabi lista as boas práticas que podem ser levadas em conta na definição de um processo de desenvolvimento seguro nos tópicos a seguir:

• • Realizar testes constantes para evitar que vulnerabilidades – próprias ou de terceiros (como bibliotecas open source) – sejam liberadas em produção;
  • Adotar criptografia para proteger os dados “at-rest” ou em trânsito. Quanto mais sensíveis forem os dados, maiores devem ser os requisitos de salvaguarda para o tratamento, transferência e armazenamento de informações;
  • Gerenciar ativamente acessos à softwares, APIs, bibliotecas e repositórios;
    Remover usuários sem necessidade de negócio ou reduzir permissões sempre que necessário;
  • Proteger as APIs, com ferramentas robustas de autenticação e desenvolvê-las com funções específicas e segregadas (ex. leitura ou gravação), além de tratar e monitorar erros e volume de requisições;
  • Implementar ferramentas para a detecção de vulnerabilidades e o rastreio de ações de usuários, tratando estes incidentes de forma rápida e eficiente;
  • Revisar e implementar soluções para tratar as causas das maiores vulnerabilidades em software mapeadas pelo projeto OWASP Top 10;
  • Manter o software atualizado: da(s) máquina(s), dos vendors, das bibliotecas, etc para evitar vulnerabilidades conhecidas e corrigir potenciais falhas de segurança;
  • Planejar-se para endereçar produtos que estejam chegando ao final de seu ciclo de vida (EOS/EOL);
  • Treinar ativamente a equipe em suas políticas de desenvolvimento de software seguro, políticas de TI, temas da LGPD, privacidade e proteção de dados;
  • Auditar os processos e os entregáveis da equipe, com frequência razoável à criticidade da operação e/ou dos dados.

É importante contar com parceiros estratégicos especializados em privacidade e proteção de dados

“Ao criar políticas de software seguro, você pode se basear nas normas e frameworks de segurança mais reconhecidos no mercado, como ISO, NIST, BSA e OWASP”, recomenda. Para ele, o resultado final, mais importante do que o framework usado, é mitigar os riscos e exposições ao software corporativo, produto e usuários finais.

“E, como o mercado, ferramentas, vulnerabilidades e as boas práticas estão em constante transformação, suas políticas e processos também devem ser atualizados com frequência”, articula.

Antabi explica que o DPO (Data Protection Officer) surgiu com a GDPR (Europeia). No Brasil, a LGPD (Lei Geral de Proteção de Dados Pessoais) chama este mesmo profissional de encarregado pelo tratamento de dados pessoais.

“A função do encarregado é ser a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados)”, afirma. O papel do DPO deve ir além de ser uma ponte entre ANPD e titulares, ou um burocrata organizacional, desempenhando um papel consultivo e interativo para toda organização, diz ele.

“O encarregado deve ser responsável por criar canais efetivos de comunicação entre líderes de verticais de negócio, seus departamentos e times de projetos e produtos para que, frente às mudanças em seus processos, busquem aconselhamento e validação de abordagens junto ao DPO”, afirma.

Para o diretor da Macher Tecnologia, o DPO deve ajudar na conscientização e no treinamento dos colaboradores, para que cada um compreenda o seu papel frente às posturas da organização quanto à privacidade e proteção de dados, sabendo quando e como buscar o suporte especializado.

Para concluir, Antabi ressalta que o desenvolvimento de um software seguro é parte de um projeto de conformidade com a LGPD e sendo um esforço contínuo e uma responsabilidade compartilhada entre desenvolvedores, líderes e clientes. Ao criar soluções e serviços digitais, os requerimentos de segurança devem ser incorporados já na fase de design do produto ou do projeto. Aliás, os times de TI, juntamente com o DPO podem ajudar nesse entendimento.

“Treinamentos de conscientização das políticas e procedimentos internos são necessários para garantir que todos no projeto entendam dos riscos, oportunidades e responsabilidades, estando aptos a pensar em formas de minimizar eventual exposição”, afirma Antabi.

LGPD e Software Seguro: Como os temas se comunicam?

A LGPD, ou Lei Geral de Proteção de Dados, tem como objetivo assegurar as liberdades individuais, definindo critérios nos quais empresas podem tratar dados pessoais. Ela não difere o tratamento físico do Digital, mas no mundo “moderno”, é inconcebível de que não haja algum tipo de tratamento digital de dados de clientes, fornecedores, parceiros e funcionários.

Ao garantir a privacidade dos indivíduos, a LGPD requer de que os dados sejam tratados de forma segura, incorporando conceitos de rastreabilidade, disponibilidade e inviolabilidade, por exemplo.

Ao desenvolver software seguro, seu time está diretamente envolvido em atividades de compliance para a LGPD já que um software inseguro pode gerar riscos aos usuários, empresas e possibilitar o vazamento de dados.

Como o DPO pode ajudar aos times de desenvolvimento na questão de segurança?

O Data Protection Officer (DPO) ou o Encarregado pelo Tratamento de Dados Pessoais é um profissional especializado em privacidade que possui papel extremamente relevante na melhoria dos processos de desenvolvimento de software.

O DPO deve trabalhar com as equipes de desenvolvimento para ajudá-las a identificar riscos de segurança e privacidade durante todo o ciclo de vida do software e garantir que as melhores práticas de segurança estejam mapeadas e integradas ao processo de desenvolvimento desde a concepção de um produto ou funcionalidade.

O DPO também deve se envolver em revisões periódicas para verificar se os tratamentos em vigor estão alinhados com a documentação e se seguem legítimos dentro do escopo da LGPD. 

Além disso, o DPO pode fornecer treinamento específico e oferecer insights quanto às mais diversas leis e regulamentações de privacidade aplicáveis (especialmente no caso de aplicações de uso em múltiplas geografias). 

LGPD, DPO, Desenvolvimento Seguro: Boas práticas!

Em resumo, garantir a segurança e privacidade dos dados é uma preocupação crítica para qualquer empresa que utilize softwares em seus processos.

A contratação de suporte de uma consultoria especializada pode fornecer às empresas as orientações necessárias para melhorar as posturas em relação à conformidade com as leis e regulamentações, bem como para minimizar riscos e exposições provenientes de seus softwares e produtos digitais.

A privacidade e proteção de dados é uma atividade constante. E ela começa em você.

Se você precisa de um suporte especializado na área, entre em contato conosco agora!