DevSecOps: sensibilização é chave para segurança 4v243v

Por Leonardo Militelli*
Ainda há um longo caminho a seguir no desenvolvimento de softwares mais seguros, porém, a ideia de que os desenvolvedores não ligam para a segurança já se foi há algum tempo. Tenho visto muitas equipes de desenvolvimento mais conscientes das vulnerabilidades que podem afetar a segurança das aplicações e muitos já sabem o que fazer para evitar os problemas de segurança. 

Porém, se os desenvolvedores estão se preocupando com a segurança, por que os softwares continuam inseguros? A resposta para isso pode estar na falta de sensibilização e processos estruturados. Para muitos desenvolvedores, o treinamento em boas práticas de segurança de aplicações não fez parte de seu desenvolvimento profissional, dificultando a assimilação das ameaças que podem afetar a aplicação. 

Para a maioria, o que se observa é a ausência de uma iniciativa clara e definida para a promoção da segurança em aplicações que seja fomentado pela diretoria. 

Essa falta de priorização tem consequências claras no cenário de segurança. Hoje os ataques à camada de aplicativos estão entre as maiores fontes de ameaças, e são um problema sério para as equipes de desenvolvimento e para as empresas. Os departamentos de TI e de segurança também levam parte da culpa por esse problema por não oferecerem aos desenvolvedores processos e ferramentas que permitam inserir a segurança mais cedo no ciclo de desenvolvimento, sem afetar a produtividade. 

No fundo, o barco é o mesmo. Todos devem estar dentro dele, remando para a mesma direção.

A ascensão do DevOps e do DevSecOps

O DevOps, cultura de desenvolvimento que busca integrar o desenvolvimento de sistemas e operações de TI para deixar o processo ágil e enxuto, com a implementação de ciclos mais curtos, testes mais rápidos e um maior nível de automação, tem mudado esse cenário, permitindo a criação de softwares mais seguros.

Com o processo de desenvolvimento ágil, foi necessário que os processos de segurança no desenvolvimento também se adaptassem, trazendo a cultura de DevSecOps, que consiste no processo de inserir ações de segurança e pontos de controle em algumas etapas do desenvolvimento de aplicações, seguindo a mesma mentalidade ágil. 

Os resultados do DevSecOps costumam ser satisfatórios para a empresa, uma vez que a ideia é construir aplicações mais resistentes desde o início do ciclo de desenvolvimento, em vez de adicionar recursos de proteção apenas no final, algo que pode ser extremamente custoso – um bug descoberto no período de desenvolvimento é relativamente baixo, porém, seu valor vai aumentando na medida em que o processo de desenvolvimento vai avançando, pois a mobilização das equipes é maior. 

Porém, isso não é tarefa fácil, pois envolver as equipes de segurança ao processo de desenvolvimento pode causar atritos e desgastes que podem levar ao insucesso dos projetos. E quem perde é a empresa.

Cultura de segurança para sintonizar as equipes 

Adotar uma cultura de DevOps e DevSecOps no desenvolvimento de aplicações ainda é um desafio, pois transformam o processo de desenvolvimento em algo multidisciplinar. Apesar disso, os desenvolvedores continuam assumindo a responsabilidade por todo o ciclo de desenvolvimento do software, da codificação à produção. 

Para garantir aplicações mais seguras, portanto, não basta integrar equipes, é preciso que a empresa esteja disposta a investir em uma cultura de segurança, envolvendo as áreas de negócio, desenvolvimento e TI, de forma a instituir a segurança como um requisito do negócio, não apenas um recurso adicional. Sem isso, o atrito entre o time de desenvolvimento e a área de segurança continuará, uma vez que ninguém gosta de ter seu trabalho e intelecto criticado em um relatório colorido de alguma consultoria.

Culpar os desenvolvedores pelas falhas de segurança do software não vai ajudar muita coisa. O desenvolvimento da cultura de segurança apoiado pela diretoria, seguido por treinamentos específicos e estruturação de um processo contínuo de verificações reduz o atrito e torna a segurança transparente durante o ciclo de desenvolvimento.

*Leonardo Militelli é CEO da iBLISS.