Fique com a segurança: aplique práticas de segurança sólidas ao desenvolver novos produtos
Sua empresa tem um conceito matador para um aplicativo inovador ou um produto conectado e você está na fase inicial do Blue-Sky-and Whiteboard. Você terá muitas oportunidades para desenvolver sua cadeia de distribuição, criar anúncios atraentes e iniciar o zumbido da mídia social. Mas há uma tarefa que não pode esperar. Agora é a hora de começar com a segurança – e isso inclui a aplicação de práticas de segurança sólida ao desenvolver novos produtos.
Especialistas em tecnologia dirão que é difícil enxertar a segurança após o fato. A estratégia mais sonora – e a mais provável de conquistar a confiança do consumidor – é criar segurança desde o início. Uma olhada nas investigações da FTC, ações de aplicação da lei e as experiências que as empresas compartilharam conosco sugerem a importância de começar com a segurança no desenvolvimento de produtos. Aqui estão exemplos obtidos dessas fontes.
Treine seus engenheiros em codificação segura.
O prêmio que sua empresa coloca em segurança de dados sólidos não pode ser um “não é preciso dizer. . . ” tipo de coisa. Diga claramente, sinceramente e frequentemente. Crie um ambiente de trabalho em que sua equipe seja incentivada em todas as etapas para considerar a segurança no desenvolvimento de produtos. Do conceito ao mercado e além, articule sua expectativa de que os funcionários mantenham a segurança na vanguarda de sua tomada de decisão. Por fim, é a melhor estratégia para seus clientes, sua reputação corporativa e sua lucratividade.
Exemplo: Uma empresa que lançava um novo produto de software enfatiza para seus engenheiros de software a importância de codificar rapidamente para garantir que o produto atinja o mercado o mais rápido possível-e os engenheiros cumpram os prazos de codificação interna. Mas somente depois que o produto está nas mãos dos consumidores, a empresa descobre que os engenheiros criaram repetidamente código que é suscetível a vulnerabilidades de segurança comuns e conhecidas para as quais existem soluções disponíveis. Para corrigir o problema, a empresa precisa implementar uma correção caro após o fato. A prática mais eficiente-e, finalmente, mais econômica-seria que a empresa enfatizasse para seus engenheiros de software a importância de codificação segura durante todo o processo de desenvolvimento e fornecer a eles o treinamento necessário para atender a essa expectativa.
Siga as diretrizes da plataforma para segurança.
Começar com a segurança não significa necessariamente começar do zero. Toda plataforma importante possui diretrizes para os desenvolvedores ajudarem a manter os dados confidenciais seguros. Empresas sábias levam esse conselho ao projetar novos produtos.
Exemplo: Uma empresa Cria um aplicativo móvel para duas plataformas de aplicativos diferentes. Ambas as plataformas exigem que os dados sejam criptografados em trânsito e ambos possuem interfaces de programação de aplicativos (APIs) que fornecem criptografia padrão do setor. Ao usar as APIs das plataformas corretamente, os engenheiros da empresa podem ajudar a manter os dados seguros.
Verifique se os recursos de segurança funcionam.
Manter um guarda -chuva no seu carro é uma idéia prudente, mas teste -o enquanto o sol está brilhando. Não espere até uma chuva torrencial para descobrir que as costelas estão dobradas ou a alça está quebrada. Da mesma forma, é aconselhável criar recursos de segurança em seus produtos, mas antes de ir para o mercado, verifique se eles estão ativados e operando corretamente.
Além disso, se você fizer alguma reivindicação aos consumidores sobre a natureza da segurança que seu produto fornece, essas representações devem ser verdadeiras e apoiadas pela prova que você tem em mãos antes de começar a vender. “Mas não fazemos nenhuma reivindicação relacionada à segurança”. Talvez sim, mas você tem certeza? De acordo com a Lei da FTC, as empresas são responsáveis por todas as representações – expressas e implícitas – que os consumidores agem razoavelmente nessas circunstâncias tiram dos materiais de marketing de uma empresa. Isso inclui declarações ou representações transmitidas na TV ou no rádio, impressas, em seu site, em anúncios on -line, em embalagens, através de mídias sociais, em políticas de privacidade ou em uma loja de aplicativos. As empresas são livres para colocar os recursos de segurança na frente e no centro de seus materiais de marketing, desde que honrem os padrões estabelecidos da verdade na advertência. Portanto, antes de divulgar os benefícios de segurança do seu produto, verifique se eles cumprem suas promessas anunciadas.
Exemplo: Uma empresa que vende um aplicativo de orçamento doméstico executa um anúncio alegando que seu produto possui “segurança de nível bancário”. Mas a empresa não possui um programa de segurança por escrito, não conduz avaliações de risco, não treina seus funcionários em práticas seguras de informação e não implementa outras práticas comumente associadas à “segurança do grau bancário”. Ao fazer representações falsas ou sem fundamento, a Companhia provavelmente violou os padrões estabelecidos da verdade em advertência.
Teste de vulnerabilidades comuns.
Existe alguma maneira de tornar seu produto 100% à prova de hackers? Sem reverter para os dias de latas conectadas com string, a resposta é não. Mas há etapas que você pode tomar para proteger seus clientes de vulnerabilidades conhecidas que são evitáveis com ferramentas de segurança comprovadas e comprovadas. A boa notícia é que muitas dessas ferramentas são gratuitas ou disponíveis a baixo custo. Antes de liberar seu produto, verifique se ele está pronto para o horário nobre. Teste -o para garantir que você tenha incorporado defesas contra riscos conhecidos.
Obviamente, novas ameaças emergem periodicamente, e é por isso que a segurança deve ser um processo dinâmico no seu negócio. Os protocolos de segurança que você implementou para o produto do ano passado podem não ser suficientes para a versão 2.0. Como você pode manter seu ouvido no chão sobre como defender as últimas ameaças? Há robustos conversação pública entre pesquisadores, especialistas em tecnologia, membros do setor, agências governamentais e outros comprometidos em manter a segurança. Siga as discussões sobre sites confiáveis, atenda aos avisos sobre novos riscos e revise suas decisões de design de acordo.
Exemplo: Um pedido de corrida de 10k exige que os registrantes digitem seu nome, endereço, data de nascimento, número do cartão de crédito e tempo mais rápido de 10 mil. Os dados são armazenados em um banco de dados SQL que combina dados de eventos de corrida em todo o país. Os organizadores do evento não consultaram recursos gratuitos para se manter atualizados sobre os riscos de segurança e nunca realizaram testes de análise de código ou penetração para avaliar se sua aplicação estava vulnerável a um ataque de injeção de SQL. Ao manter -se atualizado com recursos gratuitos – por exemplo, o projeto Top Ten do OWASP – o organizador do evento poderia ter reduzido o risco de expor as informações pessoais dos corredores ao acesso não autorizado.
Exemplo: Uma empresa de aplicativos consulta regularmente recursos públicos, como o US-Cert, para obter informações atualizadas sobre ameaças cibernéticas. A empresa percebe que o produto que está desenvolvendo inclui uma falha de segurança que alguns hackers começaram a explorar. Ao capturar o problema antecipadamente e implementar uma correção apropriada, a empresa protegeu seus clientes e sua reputação.
O que as empresas podem aprender com esses exemplos? Construir a segurança desde o início é uma abordagem econômica da inovação.
