As armadilhas de negligenciar a propriedade da segurança na fase de design

Views: 97
0 0
Read Time:4 Minute, 38 Second

Para que as empresas evitem sangrar milhões através de ameaças cibernéticas, devem incorporar a adaptabilidade na sua estratégia de segurança desde o início, ao mesmo tempo que consideram uma série de informações que vão além dos aspetos de TI e de acesso à rede.

Nesta entrevista da Help Net Security, Nima Baiati, Diretora Executiva e Gerente Geral de Soluções Comerciais de Cibersegurança da Lenovo , discute a desconexão entre as equipes de desenvolvimento e segurança e como as empresas precisam priorizar a segurança e por que utilizar uma estratégia multicamadas é a melhor maneira de proteger acima e abaixo do sistema operacional.

Há uma desconexão entre as equipes de desenvolvimento e de segurança em relação à propriedade da segurança na fase de design. Você pode explicar por que isso é problemático?

Sem uma propriedade clara da segurança durante a fase de design, muitos problemas podem surgir rapidamente. A segurança nunca deve ser uma reflexão tardia ou um mecanismo “anexado” após a criação de um produto.

As equipes de desenvolvimento concentram-se principalmente na criação de software e hardware funcionais e eficientes, enquanto as equipes de segurança se especializam em identificar e mitigar riscos potenciais. Sem colaboração, ou, idealmente, integração entre os dois, a segurança pode ser negligenciada ou não ser abordada de forma adequada, aumentando o risco de vulnerabilidades cibernéticas.

Um bom exemplo é um obturador de privacidade para câmeras em laptops. Você já viu um post-it no PC de alguém cobrindo a câmera? Uma equipe de design pode se concentrar na qualidade e no posicionamento da câmera como fatores principais para a experiência do usuário. No entanto, os profissionais de segurança sabem que muitos usuários desejam uma solução física para garantir que as câmeras não possam capturar imagens se não quiserem, e que as luzes indicadoras de ligar/desligar não são boas o suficiente.

Que estratégias as empresas podem adotar para garantir que as equipes de desenvolvimento e de segurança estejam envolvidas desde o início de um projeto?

O planejamento e desenvolvimento de produtos envolvem muitas áreas ao longo do ciclo de vida do produto. A atividade de planejamento deve incluir a definição de requisitos de segurança quando os produtos são concebidos pela primeira vez, a fim de equilibrar as necessidades de segurança e disponibilidade de dados. Isso inclui questões como em que negócio atuamos, a quem servimos e quais são suas necessidades? Se você for uma empresa de serviços financeiros, seus clientes terão necessidades críticas de segurança e uma maior tolerância ao tempo e às atividades que os protegem, por exemplo, autenticação de dois fatores .

Depois que os requisitos de segurança forem documentados, as equipes de desenvolvimento de produtos poderão estabelecer planos para incorporar recursos apropriados nos novos produtos.

As últimas orientações insistem que a “segurança desde a concepção” não é apenas uma boa prática, mas uma necessidade fundamental. Quão viável é para as empresas, especialmente as mais pequenas, implementar isto?

As PMEs são cada vez mais visadas porque são vistas como alvos relativamente fáceis. Esta tendência é agravada pela grande lacuna na oferta de profissionais de segurança cibernética, pelo que os seus departamentos de TI estão sob pressão para fazer mais com menos .

A boa notícia é que há uma oferta crescente de fornecedores terceirizados que podem fornecer uma ampla gama de soluções de segurança de endpoint, gerenciamento de ativos e segurança de rede. Muitas dessas soluções são habilitadas e automatizadas para IA, por isso são cada vez mais eficientes e eficazes.

O desafio, claro, é encontrar os fornecedores e produtos certos para sua organização. A segurança deve estar ligada à estratégia, mais organizações estão a deixar de adquirir soluções de segurança através de critérios de compra pré-definidos, muitas vezes arraigados, e a avançar para uma abordagem baseada no valor da segurança para as organizações e nos seus modelos de entrada no mercado.

Quais são as principais conclusões que os profissionais de desenvolvimento de software e segurança cibernética devem lembrar ao integrar a segurança ao design?

A segurança tem sido historicamente considerada mais uma apólice de seguro do que um facilitador de negócios. Mas é mais importante concentrar-se em onde a segurança pode desempenhar um papel no contexto do valor que uma empresa procura criar para os seus clientes.

As empresas devem aproveitar a segurança como uma ferramenta de negócios para apoiar as mudanças que desejam que ocorram na sua empresa, bem como para aumentar a agilidade para futuros eventos de formação de negócios. Se a segurança não estiver incorporada na estratégia, for apenas um exercício de verificação para cumprir as metas de conformidade e puder impedir que uma organização cresça com eficiência.

Por exemplo, se uma empresa pretende avançar ainda mais online, mas não consegue devido a uma segurança fraca ou a uma fraca compreensão dos seus requisitos e de como aumentá-los à medida que o negócio cresce, ela irá esperar – e provavelmente tornar-se-á menos competitiva.

As empresas precisam analisar quais são as prioridades para seus negócios e tomar decisões e investimentos em segurança com base nessas prioridades. Alguns exemplos de áreas de priorização são: Quão móvel preciso que minha força de trabalho seja? Quão importante é a velocidade das interações ou transações com os clientes? Para quais geografias ou segmentos de mercado queremos expandir? Etc. A resposta a essas perguntas informará o planejamento de segurança de uma empresa e deverá ocorrer simultaneamente com todos os outros planejamentos de negócios, e não posteriormente.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS