Segurança Cibernética e Maturidade no Desenvolvimento de Aplicações: Um Passo Estratégico Inadiável
Não planejava escrever sobre os assuntos da CECyber na Carta do CEO, mas acredito que a temática sobre Maturidade é importante demais para o desenvolvimento do setor de cibersegurança no Brasil. Não deu para segurar. Neste caso, convidei alguém que, além de ser uma pessoa sensacional, é um grande mestre cervejeiro pela ESCM e, mais importante, um expert de ponta em desenvolvimento seguro e modelagem de ameaças, o amigo Rafael Lachi, para trazer sua contribuição a esta Carta do CEO.
Então, vamos lá.
O cenário de cibersegurança nas empresas brasileiras clama maturidade. Maturidade para prevenir riscos, para economizar com retrabalho e para avançar no desenvolvimento de aplicações seguras que protejam a reputação e a operação de uma organização. É hora de tornar o tema central e estratégico – e, acredite, o investimento compensa.
Nas últimas décadas, o setor de construção civil era marcado por altos índices de acidentes de trabalho e obras com falhas, inclusive estruturais, devidos à falta de padronização, ferramentas de proteção, treinamento adequado e conscientização dos trabalhadores. Equipamentos de proteção individual (EPIs) não eram utilizados, e os processos eram conduzidos de forma improvisada. Com a introdução de regulamentações específicas e normas, como a NR-18 e a NR-35 (normas de segurança para a construção civil e para trabalhos em altura no Brasil), houve uma transformação significativa.
Trocando alguns poucos termos do parágrafo acima, podemos evidenciar a situação atual no desenvolvimento de aplicações. Vejamos:
O setor de desenvolvimento de aplicações é hoje marcado por altos índices de falhas e vulnerabilidades, inclusive estruturais, causados pela falta de padronização, ferramentas de proteção, treinamento adequado e conscientização dos profissionais. Técnicas de proteção ao software são muitas vezes mal-empregadas, e alguns processos de segurança são conduzidos de maneira improvisada, aumentando o risco de falhas.
Assim como a construção civil passou por uma revolução em segurança, reduzindo acidentes, melhorando a qualidade das obras, e elevando o padrão de proteção, o setor de desenvolvimento de software precisa de uma transformação equivalente, que venha desde as bases. Práticas que tornam o desenvolvimento de aplicações mais seguro têm o poder de reduzir os custos de correção e evitar falhas. Mas a adoção é baixa.
Com a introdução de regulamentações e normativas específicas, espera-se que essa situação urgente seja endereçada. Ferramentas, normativas e frameworks de modelagem de ameaças são amplamente recomendados para guiar as equipes, mas precisam de uma implementação robusta e de treinamentos contínuos.
Por exemplo, frameworks, normas e regulamentações, como o OWASP ASVS (Application Security Verification Standard), a ISO/IEC 27034 – Segurança de Aplicações, o NIST SP 800-53 – Security and Privacy Controls for Information Systems, e o SDL (Security Development Lifecycle) da openSAMM ou da Microsoft, entre outros, recomendam práticas específicas:
- Análise de Ameaças: realizar análises e modelagem de ameaças logo nas fases iniciais do projeto.
- Validação de Entrada: validar e higienizar todos os dados de entrada para evitar injeções e outras vulnerabilidades.
- Autenticação e Autorização: garantir que somente usuários e processos autorizados possam acessar funcionalidades críticas.
- Criptografia de Dados Sensíveis: proteger informações confidenciais, tanto em repouso quanto em trânsito.
- Revisão de Código e Testes de Segurança: implementar revisões periódicas de código e utilizar ferramentas de testes de segurança (SAST, DAST) para identificar e corrigir vulnerabilidades.
- Documentação e Auditoria: manter registros detalhados e revisar práticas e políticas de segurança regularmente para alinhá-las às normas e regulamentações vigentes.
O próprio afamado framework que baliza pentesters ao redor do mundo, o OWASP TOP 10 Vulnerabilidades em seu item A04:2021 – Insecure Design – destaca a importância de práticas de design seguro e da adoção de padrões de desenvolvimento que previnam falhas estruturais e de lógica no código. Essa categoria, nova na versão de 2021, foca em riscos relacionados a falhas de design e enfatiza a necessidade de “mover para a esquerda” (shift to left) todo o processo de desenvolvimento, adotando práticas como modelagem de ameaças, padrões e princípios de design seguro e arquiteturas de referência. Para mitigar riscos de design inseguro, é crucial que as equipes de desenvolvimento priorizem a implementação de processos de revisão e melhorias constantes em cada etapa do desenvolvimento.
Em suma: ferramentas, normativas como o OWASP ASVS e frameworks de modelagem de ameaças são amplamente recomendados para guiar as equipes. Entretanto, o estado atual das práticas ainda não apresenta a adesão ou implementação adequadas.
Vejamos alguns dados que refletem a magnitude e a frequência de incidentes cibernéticos relacionados a vulnerabilidades em software:
- Aproximadamente 39% das violações de dados foram causadas por vulnerabilidades em aplicações de software, resultantes de falhas na correção ou atualização. Fonte: Relatório de Violações de Dados da Verizon (DBIR) 2023.
- A exploração de vulnerabilidades em software foi a segunda principal causa de incidentes cibernéticos em 2022, após ataques de phishing. Fonte: IBM Security X-Force 2023.
- Mais de 25.000 vulnerabilidades foram registradas no banco de dados CVE somente em 2022, indicando uma alta taxa de novas falhas de segurança. Vulnerabilidades em software de infraestrutura crítica e aplicativos amplamente utilizados, como sistemas operacionais, servidores web e frameworks de desenvolvimento, estão entre as mais comuns. Fonte: CVE (Common Vulnerabilities and Exposures).
- 60% dos incidentes de violação de dados foram associados a vulnerabilidades de software exploradas por hackers. Fonte: Relatório do Ponemon Institute sobre Segurança em Aplicações (2022).
Esse último relatório também aponta que organizações com programas de desenvolvimento seguro implementados reduziram o impacto de incidentes em 37%, reforçando a importância de medidas preventivas.
Ou seja, nunca foi tão importante desenhar aplicações seguras.
Mas será que o investimento em programas de capacitação em desenvolvimento seguro e DevSecOps vale realmente a pena?
Diversos estudos e relatórios sobre segurança de software indicam que o custo de corrigir vulnerabilidades após o lançamento é significativamente mais alto do que adotar práticas seguras desde o início. Em outras palavras, o investimento é necessário e evidente.
- Um relatório do NIST (National Institute of Standards and Technology) estima que corrigir uma vulnerabilidade após o lançamento custa até 30 vezes mais do que tratá-la durante as fases iniciais do desenvolvimento, como o planejamento e a codificação.
- Segundo o Relatório do Ponemon Institute sobre Segurança de Aplicações (2022), empresas que implementaram práticas de desenvolvimento seguro relataram uma redução de 20 a 40% nos custos com retrabalho e correção de vulnerabilidades pós-lançamento, com o custo médio de uma violação de dados causada por vulnerabilidades estimado em cerca de US$ 4,35 milhões por incidente, incluindo retrabalho.
- O relatório “Cost of a Data Breach 2023” da IBM Security indica que empresas que adotaram um ciclo de vida de desenvolvimento seguro (SDL) gastaram 52% menos em remediação e correção de vulnerabilidades.
- Um estudo da Veracode sobre Desenvolvimento Seguro vai além: projetos com práticas seguras e revisões de segurança desde o início apresentaram 70% menos falhas no lançamento, reduzindo custos de correção e retrabalho.
Somente nos Estados Unidos, o custo de má qualidade de software é estimado em US$ 2,08 trilhões ao ano, dos quais uma parte significativa se refere a falhas de segurança.
Amigos… o investimento necessário para capacitação dos profissionais é uma fração milésima disso!
Treinamento Contínuo
A capacitação da CECyber em segurança no ciclo de vida do desenvolvimento e no DevSecOps foca na gestão de vulnerabilidades e nas práticas de desenvolvimento seguro, desde a concepção das aplicações. Visa também a continuidade em direção à maturidade dos processos e das práticas de segurança no ciclo de vida das aplicações. Maturidade pode parecer um termo subjetivo, etéreo. Mas custo de retrabalho não é.
Assim como na segurança de canteiros de obras, a cibersegurança exige capacitação que inclua treinamento prático, comunicação constante, gestão ativa, incentivos e penalidades.
A CECyber se propõe a estabelecer parcerias nessa gestão ativa, cientes de que muitas das responsabilidades da gestão ativa não podem ser atribuídas apenas a nós. Fornecemos KPIs e orientações que podem ser utilizados tanto durante os programas de capacitação quanto nas medições de resultado.
A dinâmica de mudança e inovação em cibersegurança exige treinamentos atualizados e reciclados, baseados em ferramentas e técnicas aplicadas no dia a dia. Nesse sentido, a maturidade pode ser um alvo móvel, mas buscá-la é ainda mais essencial justamente por isso.
Considerando que o tema da segurança em aplicações é recente e que o setor apresenta lacunas significativas na força de trabalho, não há dúvida de que um projeto nesse sentido deve ser uma parceria entre a CECyber e nossos clientes.
“Custa caro treinar funcionários e perdê-los para o mercado, mas custa muito mais caro não treiná-los e ficar com eles.” – Henry Ford
Conscientização de Lideranças
Assim como os trabalhadores da construção civil foram progressivamente treinados para seguir normas de segurança, os colaboradores de uma organização moderna precisam ser capacitados. Da mesma forma, a alta gestão deve estar ciente do dano potencial de aplicações não seguras.
Na maioria das vezes, as áreas de TI não são lideradas por gestores da segurança cibernética. Lideranças em AppSec (Application Security) ainda não estão no topo da escala corporativa. Nesse sentido, a CECyber também se propõe a introduzir programas de conscientização para a alta gestão.
É fundamental alinhar a alta gestão à importância dos insumos críticos para as decisões estratégicas, e que a alta gestão participe dos programas de conscientização para compreenderem o impacto operacional e financeiro dos riscos. Em última análise, uma liderança consciente e bem treinada garante que a segurança cibernética não seja vista apenas como um custo, mas como uma responsabilidade e um investimento no futuro da organização.
Nada como a simulação de uma crise cibernética junto ao C-level para trazer apoio aos gestores da segurança 
.
Rumo à Maturidade
Destacamos acima a questão crítica da segurança de aplicações, mas organizações, de modo geral, precisam de um conjunto de ferramentas integradas – firewalls, EDR, SIEM, DLP e uma lista extensa de controles e processos, quase todos eles dobrando de efetividade uma vez balizados por uma boa modelagem de ameaças e conscientização em todos os níveis.
Maturidade é uma meta em evolução, não um ponto final. Objetivar maturidade é um investimento em resiliência organizacional, proporcionando a capacidade de não só sobreviver, mas prosperar em um ambiente digital cada vez mais desafiador.
Resiliência diante de ameaças cibernéticas é questão empresarial, não de um departamento, e deve ser tratada como tal.
A CECyber convida você a dar o próximo passo. Colaborando com nossos clientes, avançaremos rumo a um futuro mais seguro e resiliente. Junte-se a nós em direção a um futuro mais seguro e resiliente para a sua organização, e para a sociedade.