Sua empresa tem um conceito matador para um aplicativo inovador ou produto conectado e você está no estágio inicial de céu azul e quadro branco. Você terá muitas oportunidades para desenvolver sua cadeia de distribuição, criar anúncios atraentes e iniciar o burburinho nas mídias sociais. Mas há uma tarefa que não pode esperar. Agora é a hora de começar com a segurança – e isso inclui a aplicação de práticas sólidas de segurança ao desenvolver novos produtos.
Os especialistas em tecnologia dirão que é difícil implementar a segurança depois do fato. A estratégia mais sólida – e a que tem maior probabilidade de conquistar a confiança dos consumidores – é criar segurança desde o início. Uma análise das investigações da FTC, das ações de aplicação da lei e das experiências que as empresas partilharam connosco sugere a importância de começar pela segurança no desenvolvimento de produtos. Aqui estão exemplos obtidos dessas fontes.
Treine seus engenheiros em codificação segura.
O valor que sua empresa atribui à segurança sólida dos dados não pode ser um “Nem é preciso dizer. . .” tipo de coisa. Diga isso de forma clara, sincera e frequente. Crie um ambiente de trabalho onde sua equipe seja incentivada em todas as etapas a levar em consideração a segurança no desenvolvimento do produto. Do conceito ao mercado e além, articule sua expectativa de que os funcionários mantenham a segurança na vanguarda de suas tomadas de decisão. Em última análise, é a melhor estratégia para seus clientes, sua reputação corporativa e sua lucratividade.
Exemplo: Uma empresa que lança um novo produto de software enfatiza aos seus engenheiros de software a importância da codificação rápida para garantir que o produto chegue ao mercado o mais rápido possível – e que os engenheiros cumpram os prazos de codificação internos. Mas só depois de o produto estar nas mãos dos consumidores é que a empresa descobre que os engenheiros criaram repetidamente código que é susceptível a vulnerabilidades de segurança comuns e bem conhecidas para as quais existem soluções disponíveis. Para corrigir o problema, a empresa precisa implementar uma solução dispendiosa após o fato. A prática mais eficiente – e, em última análise, mais económica – teria sido a empresa enfatizar aos seus engenheiros de software a importância da codificação segura ao longo do processo de desenvolvimento e fornecer-lhes a formação necessária para satisfazer essa expectativa.
Siga as diretrizes da plataforma para segurança.
Começar pela segurança não significa necessariamente começar do zero. Todas as principais plataformas têm diretrizes para os desenvolvedores ajudarem a manter os dados confidenciais seguros. Empresas sábias levam esse conselho em consideração ao projetar novos produtos.
Exemplo: Uma empresa cria um aplicativo móvel para duas plataformas de aplicativos diferentes. Ambas as plataformas exigem que os dados sejam criptografados em trânsito e ambas possuem interfaces de programação de aplicativos (APIs) que fornecem criptografia padrão do setor. Ao utilizar corretamente as APIs das plataformas, os engenheiros da empresa podem ajudar a manter os dados seguros.
Verifique se os recursos de segurança funcionam.
Manter um guarda-chuva no carro é uma ideia prudente, mas teste-o enquanto o sol brilha. Não espere até que caia uma chuva torrencial para descobrir que as costelas estão tortas ou que o cabo está quebrado. Da mesma forma, é aconselhável incorporar recursos de segurança em seus produtos, mas antes de ir para o mercado, verifique se eles estão habilitados e funcionando corretamente.
Além disso, se você fizer alguma reclamação aos consumidores sobre a natureza da segurança que seu produto oferece, essas declarações deverão ser verdadeiras e apoiadas por provas que você tenha em mãos antes de começar a vender. “Mas não fazemos nenhuma reivindicação relacionada à segurança.” Talvez sim, mas você tem certeza? De acordo com a Lei FTC, as empresas são responsáveis por todas as declarações – expressas e implícitas – que os consumidores, agindo razoavelmente sob as circunstâncias, extraem dos materiais de marketing de uma empresa. Isso inclui declarações ou representações veiculadas na TV ou no rádio, na mídia impressa, no seu site, em anúncios on-line, em embalagens, nas redes sociais, em políticas de privacidade ou em uma loja de aplicativos. As empresas são livres para colocar os recursos de segurança em destaque em seus materiais de marketing, desde que respeitem os padrões estabelecidos de veracidade na publicidade. Portanto, antes de divulgar os benefícios de segurança do seu produto, verifique se eles cumprem as promessas anunciadas.
Exemplo: Uma empresa que vende um aplicativo de orçamento doméstico veicula um anúncio alegando que seu produto tem “segurança de nível bancário”. Mas a empresa não tem um programa de segurança escrito, não realiza avaliações de risco, não forma os seus funcionários em práticas de informação segura e não implementa outras práticas normalmente associadas à “segurança de nível bancário”. Ao fazer declarações falsas ou infundadas, a empresa provavelmente violou os padrões estabelecidos de verdade na publicidade.
Teste vulnerabilidades comuns.
Existe alguma maneira de tornar seu produto 100% à prova de hackers? Sem voltar aos tempos das latas amarradas com barbante, a resposta é não. Mas existem etapas que você pode seguir para proteger seus clientes contra vulnerabilidades conhecidas que podem ser evitadas com ferramentas de segurança testadas e comprovadas. A boa notícia é que muitas dessas ferramentas são gratuitas ou estão disponíveis a baixo custo. Antes de lançar seu produto, certifique-se de que ele esteja pronto para o horário nobre. Teste-o para garantir que você construiu defesas contra riscos conhecidos.
É claro que novas ameaças surgem periodicamente, por isso a segurança deve ser um processo dinâmico na sua empresa. Os protocolos de segurança implementados para o produto do ano passado podem não ser suficientes para a versão 2.0. Como você pode ficar atento à defesa contra as ameaças mais recentes? Há um forte diálogo público entre pesquisadores, especialistas em tecnologia, membros da indústria, agências governamentais e outros comprometidos em manter a segurança. Acompanhe suas discussões em sites confiáveis, preste atenção aos avisos sobre novos riscos e revise suas decisões de design de acordo.
Exemplo: Uma inscrição para corrida de 10K exige que os inscritos insiram seu nome, endereço, data de nascimento, número de cartão de crédito e tempo mais rápido de 10K. Os dados são armazenados em um banco de dados SQL que combina dados de eventos de corrida em todo o país. Os organizadores do evento não consultaram recursos gratuitos para se manterem atualizados sobre os riscos de segurança e nunca realizaram qualquer análise de código ou testes de penetração para avaliar se seu aplicativo estava vulnerável a um ataque de injeção de SQL. Mantendo-se atualizado com recursos gratuitos – por exemplo, o Projeto Top Ten da OWASP – o organizador do evento poderia ter reduzido o risco de expor as informações pessoais dos pilotos ao acesso não autorizado.
Exemplo: Uma empresa de aplicativos consulta regularmente recursos públicos como o US-CERT para obter informações atualizadas sobre ameaças cibernéticas. A empresa percebe que o produto que está desenvolvendo inclui uma falha de segurança que alguns hackers começaram a explorar. Ao detectar o problema antecipadamente e implementar uma solução adequada, a empresa protegeu seus clientes e sua reputação.
O que as empresas podem aprender com esses exemplos? Construir segurança desde o início é uma abordagem económica à inovação.