0
0
Garantir a segurança no mercado de software é inegavelmente crucial, mas é importante encontrar um equilíbrio que evite regulamentação governamental excessiva e os encargos associados à responsabilidade legal imposta pelo governo, também chamada de regime de responsabilidade. Embora não haja dúvida de que o mercado está quebrado no que diz respeito à segurança e que a intervenção é necessária, existe uma abordagem menos intrusiva que permite ao mercado encontrar o nível certo de segurança, minimizando ao mesmo tempo a necessidade de um envolvimento severo do governo.
A imposição de um regime de responsabilidade às empresas de software pode ir longe demais e criar consequências indesejadas. As desvantagens da responsabilidade, como o aumento dos custos, potenciais batalhas legais e desincentivos à inovação, podem impedir o desenvolvimento de software seguro sem necessariamente garantir melhores resultados de segurança. Um regime de responsabilidade também poderia sobrecarregar desproporcionalmente as empresas mais pequenas e sufocar a diversidade e a inovação presentes na indústria de software.
Transparência, não legalidade
Em vez disso, uma abordagem mais eficaz envolve influenciar o mercado de software através de medidas que incentivem a transparência e a tomada de decisões informadas. Ao exigir que as empresas sejam totalmente transparentes sobre as suas práticas de segurança, os consumidores e as empresas podem fazer escolhas informadas com base nas suas preferências de risco. A transparência permite que o mercado impulsione a procura por software seguro, permitindo que as empresas com medidas de segurança robustas ganhem potencialmente uma vantagem competitiva.
Ao simplesmente exigir que as empresas divulguem o que fazem para garantir que o seu software é seguro, o governo pode permitir a tomada de decisões informadas sem impor regulamentos rigorosos que muito provavelmente não se adequarão a todos os diferentes tipos de software no mundo. Esta abordagem permite flexibilidade às empresas para inovarem e adaptarem as suas práticas de segurança com base na evolução das ameaças e tecnologias. Observe que a transparência envolve um fardo mínimo para as empresas, pois elas não precisam alterar nada, apenas divulgar o que estão fazendo para proteger seu código. É claro que, se tiverem vergonha de serem transparentes, poderá haver algum trabalho para levar o seu programa de segurança a um nível aceitável. Mas é exatamente isso que buscamos aqui.
Deixe o mercado decidir
Fundamentalmente, esta abordagem menos intrusiva incentiva mecanismos orientados pelo mercado para determinar o nível adequado de segurança. Consumidores informados, munidos de informações transparentes, podem impulsionar a procura de software seguro e incentivar as empresas a priorizar a segurança como uma vantagem competitiva.
Presumo que o mercado recompensará as empresas que se destacam no fornecimento de produtos seguros e que elas prosperarão naturalmente no mercado, enquanto as que ficarem para trás enfrentarão pressões do mercado para melhorarem as suas práticas de segurança. O mercado pode escolher um nível de segurança diferente daquele que eu gostaria, mas esse é o ponto. O mercado pode escolher melhor do que eu e melhor do que o governo.
Já vimos que a transparência pode gerar grandes mudanças no mercado de software. Após décadas de regulamentações draconianas, processos obrigatórios, OWASP Top Ten’s e todos os tipos de requisitos de codificação segura, não fizemos nenhum progresso. No entanto, a exigência de listas de materiais de software (SBOMs) já influenciou o mercado a eliminar o uso de código aberto. O SBOM é apenas um pequeno passo em direção à verdadeira transparência da segurança de software, mas demonstra o poder dessa abordagem.
A transparência obrigatória alcança segurança sem ônus excessivo
Todos nós confiamos no software tudo o que é importante em nossas vidas. As empresas que criam este software crítico não são incentivadas a fazer um excelente trabalho em segurança. Um regime de responsabilidade vai longe demais e pode ter consequências negativas não intencionais. Mas a transparência obrigatória pode alcançar o mesmo resultado no mercado de software de uma forma muito menos intrusiva. Esta abordagem permite que o mercado encontre o nível certo de segurança, ao mesmo tempo que minimiza a regulamentação pesada e promove a inovação.
Ao capacitar os consumidores e encorajar mecanismos orientados para o mercado, podemos alcançar um ecossistema de software mais seguro sem impor um fardo excessivo às organizações de desenvolvimento.
FONTE: DARKREADING