O volume crescente de notícias de ataques informáticos é preocupante e é cada vez mais relevante as organizações apostarem na segurança do software logo no início do ciclo de desenvolvimento, mantendo controle e monitorização ao longo de todo o ciclo de vida, antes e depois de entrar em produção. Hugo Bolé, da Rumos, e Rui Costa, do Armis Group, partilharam no Building the Future 2023 a sua visão sobre as necessidades das empresas nesta área e os riscos de não investir numa visão global de segurança no desenvolvimento e na formação dos recursos humanos.

O formador na Rumos para a área de Cybersecurity e Diretor Geral da REDALERT - Information Security, admitiu que a maioria das organizações não estão preparadas para esta visão, em especial pela falta de recursos humanos qualificados. “As TI têm falta de Recursos Humanos e em áreas maior especialização a escassez é mais grave”, sublinha Hugo Bolé, lembrando que “para adoptar as boas práticas e as metodologias precisam de pessoas com essas competências, que reconheçam os erros mais comuns e mais graves e saibam utilizar ferramentas de testes estáticos e dinâmicos de segurança de software”.

O risco é deixar que a segurança fique para segundo ou terceiro plano no desenvolvimento do software, até porque quando algo corre mal e se tenta resolver numa fase posterior os riscos são mais elevados e os custos também. “Torna-se mais difícil de enquadrar e descobrir a causa [das vulnerabilidades] e isso tem custos diretos e indiretos, de paragem de produção e até custos reputacionais”, avisa.

Rui Costa, CTO da Armis, tem uma perspetiva semelhante. Embora admita que a sensibilização para os temas da segurança cresceu nos últimos anos, há muitas situações onde continua a observar que as empresas não têm a mesma preocupação em todas as fases de desenvolvimento, estendendo a monitorização até à fase de produção. “Se não tiver a preocupação de segurança até à fase final de entrada em produção da aplicação corre mais riscos”, justifica.

Ainda assim há bons exemplos entre os clientes da Armis, com empresas onde reconhece “excelentes processos de ciclo de vida de desenvolvimento de software, com validação permanente da construção, da análise de requisitos, da elaboração de software, da homologação de equipas dedicadas para verificação de qualidade do código, e até à nomenclatura de construção do código, que são fatores para garantir a qualidade do software”.

A formação das equipas de desenvolvimento é apontada como um elemento crucial. Hugo Bolé reconhece que a academia continua a ser o melhor sítio para aprender as bases de desenvolvimento e programação, mas que é difícil manter os currículos alinhados com os desenvolvimentos da tecnologia e das ferramentas.

“A necessidade de atualização é constante […] deve haver uma pesquisa proactiva”, explica, dizendo que “é importante que os programadores procurem, pelos seus meios, a formação e certificação nas linguagens específicas, nas boas práticas de desenvolvimento de software seguro”, enquanto “as organizações podem fazer formação on the job para alinhar as competências com as necessidades específicas das linguagens e os requisitos de segurança dos clientes”.

Shift Lef para identificar falhas de segurança mais cedo

Remetendo para o tema da sessão, Shift Left em DevOps: uma estratégia para a segurança das aplicações?, o formador da Rumos defende que as organizações devem passar para o início do desenvolvimento a parte de levantamento de requisitos de segurança e identificação de ameaças e incluir os testes dinâmicos e estáticos de segurança de software. “Assim conseguimos identificar as falhas de segurança mais cedo, ao contrário das metodologias tradicionais em que era desenvolvido o código e só quando está praticamente desenvolvido ou em produção é que se identificavam as falhas”, sublinha.

Para Rui Costa é também importante olhar para o tema das bibliotecas de código aberto e as dependências que existem. “Tivemos vários exemplos de ataques que aconteceram devido a vulnerabilidade encontradas em livrarias abertas, que são usadas pela popularidade de uso na comunidade de desenvolvimento, mas têm de ser incluídas e monitorizadas nos testes”, alerta o CTO da Armis, que reconhece que sem as ferramentas de automação não é possível fazer essa monitorização ao longo do ciclo de construção e passagem a produção do software.

Estas ferramentas conseguem trazer a monitorização constante e correlação das ameaças, porque adotamos a nuvem e há ameaças em várias geografias. É inteligência que pode ser usada para as organizações conhecerem mais cedo essas ameaças”, explica o CTO. “O software que devíamos aplicar ao ciclo de vida de desenvolvimento vai ajudar a equipa de desenvolvedores a perceber qual a prioridade das vulnerabilidades críticas a resolver, porque se calhar temos uma pipeline de criticidades identificadas e não sabemos por onde começamos.  Esta inteligência é que consegue organizar as vulnerabilidades e dar prioridades”.

Hugo Bolé defende ainda que era importante que as empresas que estão no mercado partilhassem conhecimento sobre as vulnerabilidades e fragilidades, o que poupava tempo a todos. “Que tenha conhecimento essa base de dados”, admite, reconhecendo que há bases de dados de vulnerabilidades mais comuns a nível global, mas que “há coisas de nicho que não são partilhadas”.

Prevenir, antecipar e monitorizar são palavras chave. “Temos de nos preocupar com os testes contínuos, tirar partido das ferramentas de Inteligência Artificial e do cruzamento e da correlação de dados entre diferentes plataformas. Devemos usar isso também na construção de software para reagir mais rapidamente às vulnerabilidades zero day”, destaca Rui Costa.

O conselho que o CTO deixa às organizações é para que invistam no ciclo contínuo seguro do desenvolvimento de software e em ferramentas de automação que conseguem ajudar a ter controlo, monitorização e uma visão global de segurança. A isso Hugo Bolé junta a aposta no recrutamento, retenção e qualificação dos Recursos Humanos. “não podemos adotar boas práticas se as pessoas não as conhecerem”, recorda.