Começar a proteger desde o início

Criar numa nova solução, produto ou dispositivo passa por vários estágios de desenvolvimento. No entanto, durante muito tempo, a segurança era colocada de parte na criação de um novo serviço, pelo menos numa fase inicial.

Com a crescente importância que a cibersegurança tem ganho junto das empresas e dos próprios consumidores, o tema começa a ser pensado mais cedo na criação de um novo serviço. Ainda que não seja possível proteger a 100% um determinado produto – porque nunca é – começar a pensar na questão da segurança desde início é importante, até porque, segundo especialistas da Deutsche Telekom, “95% dos ataques bem-sucedidos devem- -se a software mal programado, mal mantido e mal configurado”.

Assim, se um developer incluir funcionalidades de segurança na criação do produto, os erros de sistema podem ser reduzidos e evitados desde o início. Mesmo o governo britânico aconselhou que todos os que trabalhem em dispositivos inteligentes adotem políticas e práticas de segurança desde o início, até porque “os consumidores devem conseguir confiar que estes dispositivos – sejam eles relógios, colunas, campainhas ou monitores de bebé – são desenhados e construídos de forma segura. O governo advoga que uma segurança forte deve ser construída nos produtos conectados à Internet desde início. Estes produtos devem ser ‘seguros por design’”.

Olhar para a segurança no início

David Grave, Senior Cybersecurity Consultant na Claranet Portugal

David Grave, Senior Cybersecurity Consultant na Claranet Portugal, indica que “no mercado global altamente competitivo é fundamental que temas como a segurança de uma aplicação, da infraestrutura, assim como a proteção e privacidade dos dados sejam endereçados desde as fases iniciais de conceção e desenho da solução”, e que, atualmente, “já é difícil justificar uma abordagem diferente”.

Ricardo Marques, Head of Consulting na S21sec, acredita que olhar para uma nova aplicação e olhar para a segurança desde o início “depende muito da organização e da sua maturidade nesta matéria”. As organizações de maiores dimensões e que trabalham em mercados mais regulados já têm este tipo de preocupação. No entanto, “em organizações de menor dimensão esta preocupação ainda não é uma realidade, e vemos muitas vezes aplicações a serem disponibilizadas publicamente sem sequer ser efetuado um teste de segurança mínimo. Isto faz com que, muitas vezes, as aplicações sejam disponibilizadas com falhas de segurança graves que podem ser exploradas por potenciais atacantes”.

Sergio Pedroche, Country Manager para a Península Ibérica na Qualys, concorda que o tema da segurança por definição é um tema dentro das grandes empresas, e refere que, para além de mitigar as violações de segurança, também é importante “manter uma política de prevenção e visibilidade não só para as aplicações mais críticas, mas para cada nova aplicação que é implementada”.

Por sua vez, Miguel Caldas, Cloud Architect na Microsoft Portugal, “o tema da segurança na construção de aplicações não é de forma alguma recente, tem estado presente no triângulo funcionalidade- desempenho-segurança das organizações que produzem software de forma estruturada desde há largos anos”. Neste sentido, “o que se tem notado mais recentemente é a passagem da segurança a uma disciplina de engenharia, em vez de uma arte com poucos praticantes, como era no passado. Como engenharia, há agora processos documentados, ferramentas de automatização e suporte, aprendizagem estruturada para novos praticantes”.

Abordagem ao Security by Design

Para Miguel Caldas, as organizações devem abordar o tema “dando atenção aos temas da segurança” tal “como o próprio nome indica”, ao mesmo tempo que “se desenha a funcionalidade e se especifica o desempenho”.

O representante da Microsoft relembra que, antes, “a fórmula menos estruturada de aproximação à segurança, em que era no fim da aplicação estar em testes que se faziam testes de segurança, levava a que não fossem detetados muitos dos problemas potenciais devido à incompleta cobertura de testes. Pior ainda, como os problemas eram detetados tardiamente – quando o eram, sequer –, era usual serem relegados para a categoria de DNF (“Do Not Fix”), dado que podiam ser mitigados com proteções de perímetro, em vez de correções aplicacionais dispendiosas. O security by design implica um investimento maior na fase de desenho, mas traz poupanças significativas em fases mais avançadas do ciclo de vida das aplicações”.

	Ricardo Marques, Head of Consulting na S21sec

Ricardo Marques refere que o conceito de security by design “define que a segurança deve ser uma preocupação básica no desenvolvimento das aplicações”. Assim, “não basta garantir que são efetuados testes de segurança às aplicações e é necessário pensar na segurança em todo o ciclo de vida de desenvolvimento das aplicações, desde a sua conceção”.

O Head of Consulting na S21sec dá como exemplo o setor automóvel; “no desenvolvimento de um novo automóvel já não é possível pensar só no motor, que faz o carro andar. A componente da segurança dos passageiros é, também, já, e cada vez mais, um requisito obrigatório. Sistemas base como os travões, ABS e airbags são já obrigatórios, e são incluídos na conceção do carro. No desenvolvimento aplicacional tem que acontecer o mesmo. A segurança não pode ser pensada só depois da aplicação ter sido desenvolvida, tem que começar muito antes disso”.

Para David Grave, a abordagem ao tema de segurança desde o início deve ser de que cabe às organizações “garantirem a segurança dos dados que recolhem dos seus utilizadores e colaboradores”, até porque “é do interesse da organização não só reduzir as vulnerabilidades nos seus sistemas e dispositivos, mas também responder com objetividade e diligência, assim como demonstrar abertamente as normas de segurança e privacidade implementadas, comunicando claramente os seus esforços aos clientes”.

“No mercado global altamente competitivo é fundamental que temas como a segurança de uma aplicação, da infraestrutura, assim como a proteção e privacidade dos dados sejam endereçados desde as fases iniciais de conceção e desenho da solução” – David Grave, Claranet Portugal

Sergio Pedroche menciona que security by design se trata “de uma tendência que, mais cedo ou mais tarde, acabará por se impor. Por enquanto, predomina, principalmente, na computação industrial e afeta três elementos básicos: dispositivos de campo; aplicações e sistemas em tempo real; e os protocolos que lhes permitem comunicar uns com os outros”.

IoT

O IoT é, como diz David Grave, “um exemplo onde se pensou sempre primeiro na forma e na conveniência da utilização, deixando para trás as preocupações com a segurança” e que, como refere Ricardo Marques, traz “um conjunto de novos desafios”.

O representante da Claranet relembra que os dispositivos IoT “estão em todo o lado”, mas que, muitas vezes, “o IT apenas toma conhecimento da existência destes equipamentos quando os deteta ligados a uma rede. A segurança a este nível implica um processo de evolução, de educação, e têm de existir redes e mecanismos de proteção adequados a este tipo de equipamentos”.

Ricardo Marques afirma que “se os sistemas tradicionais como servidores, estações de trabalho, laptops, tablets, etc. trazem já de base um conjunto de mecanismos de segurança que os administradores de sistemas podem usar para ‘securizar’ esses mesmos dispositivos e, assim, diminuir o risco de ligação destes dispositivos à rede da organização, nos dispositivos IoT esta não é a realidade. O que acontece é que os dispositivos IoT são pensados, principalmente, na funcionalidade e não na segurança. Voltando ao exemplo do carro, já alguma vez viram nas características de um carro a referência a firewall, autenticação multifator, ou mesmo encriptação de dados? O mais normal é que não, mas a realidade é que cada vez mais os carros são computadores, são dispositivos IoT, e têm um sistema onde podemos armazenar os nossos dados”.

Sergio Pedroche, Country Manager para a Península Ibérica na Qualys

Se a “simples defesa já não é uma opção”, como diz Sergio Pedroche, “a chave é o conceito de ‘ativo’, ou seja, qualquer elemento que possa ser protegido contra violações e catástrofes naturais”. Assim, indica, “é necessário garantir a segurança em todos os elos da cadeia de valor de todos os ativos e para isso é tão importante proteger o dispositivo como o protocolo ou a aplicação”.

Miguel Caldas refere que existe um “espetro de atitudes enorme”. Se, por um lado, existem hoje “empresas com atitudes quase fundamentalistas quanto à segurança dos seus dispositivos IoT e das suas comunicações”, há outras onde é frequente a atitude de “investir na segurança aumenta os custos”. O Cloud Architect da Microsoft admite os “ganhos de muito curto prazo desta aproximação”, mas alerta que os “custos futuros” – tanto para os fabricantes como para os clientes – “poderão ser incalculavelmente elevados”.

Cibersegurança na cloud

A cloud é um ponto cada vez mais importante para as organizações e para os seus projetos de transformação digital. Ao adotar soluções ou infraestruturas cloud, importa que as empresas olhem, também, para o tema da cibersegurança desde o início da adoção, até porque, “com o advento da cloud, entrámos numa nova era que não está, evidentemente, isenta dos seus próprios riscos de segurança”, refere o Country Manager para a Península Ibérica da Qualys.

“A segurança não pode ser pensada só depois da aplicação ter sido desenvolvida, tem que começar muito antes disso” – Ricardo Marques, S21sec

Se é verdade que a cloud é “um potenciador de inovação e de segurança”, é igualmente verdade que se a “adoção for feita sem as medidas de segurança adequadas, pode expor inadvertidamente a organização”, alerta David Grave. “É fundamental que a migração para a cloud seja acompanhada por equipas com os conhecimentos e experiência necessários e comprovados. Deverá existir um plano de migração, adoção e teste de segurança da solução”, diz.

O Senior Cybersecurity Consultant na Claranet Portugal refere, ainda, que, “infelizmente, nem sempre são seguidas as boas práticas; como em qualquer projeto, existem sempre muitas pressões - por exemplo, de migrar o mais rapidamente possível, ficando a segurança para depois -, mas é fundamental não ceder e garantir que o projeto é executado de acordo com as boas práticas”.

	Miguel Caldas, Cloud Architect na Microsoft Portugal

Miguel Caldas, da Microsoft, indica que “nas infraestruturas cloud, o tema da cibersegurança é olhado com mais atenção do que nas infraestruturas on-premises”. Isso acontece, diz, pela “origem psicológica” e pela “índole económica”.

No primeiro ponto, “os gestores de IT mais tradicionais tinham em relação à cloud uma desconfiança intrínseca, por se tratar de infraestruturas fora do seu controlo absoluto”, mesmo que essas infraestruturas tenham um maior investimento do que as infraestruturas on-premises. Esta desconfiança levou a que fossem “acauteladas medidas de segurança mais cedo do que nas instalações on-premises”.

Depois, no segundo ponto, “os operadores cloud proporcionam geralmente aos seus clientes ferramentas pré-integradas e pré-configuradas para comando e controlo das infraestruturas que incluem peças muito avançadas de segurança, completamente inviáveis de implementar a custos aceitáveis em implementações on-premises”.

Para Ricardo Marques, as organizações devem pensar na segurança pretendida desde a conceção de mover um sistema ou aplicação para a cloud, fazendo questões como “quais os dados que vou colocar na cloud?” ou “que níveis de proteção vou necessitar de forma a minimizar o risco de exposição ou perda desses dados?”.

“Com o advento da cloud, entrámos numa nova era que não está, evidentemente, isenta dos seus próprios riscos de segurança” – Sergio Pedroche, Qualys

“O que normalmente acontece é que as organizações migram para a cloud sem esta análise prévia, e depois não sabem exatamente que serviços de segurança precisam na cloud e adquirem o serviço errado ou então adquirem um serviço com tantos extras de cibersegurança que acabam por não os ativar/usar”, explica o representante da S21sec.

Reduzir o risco

David Grave acredita que se for possível “garantir que a segurança está enraizada em todos os produtos e serviços, desde o design até à implementação, vamos conseguir eliminar muitas vulnerabilidades”.

Na mesma linha, Ricardo Marques afirma que “se existir uma preocupação com a segurança em todo o ciclo de vida de desenvolvimento/implementação de sistemas e aplicações, é possível construir sistemas e aplicações mais seguras, seja dentro de casa ou na cloud, estando as mesmas menos expostas a potenciais vulnerabilidades”.

“Nas infraestruturas cloud, o tema da cibersegurança é olhado com mais atenção do que nas infraestruturas on-premises”. Isso acontece pela “origem psicológica” e pela “índole económica” – Miguel Caldas, Microsoft Portugal

Sendo esta uma “abordagem que advoga a necessidade de considerar a segurança no ponto de conceção dos ativos em vez de ter de fazer este exercício depois do facto”, Sergio Pedroche defende que a segurança by design “é um requisito cada vez mais necessário para garantir a proteção dos dados e a continuidade do negócio”.

Por fim, Miguel Caldas indica que “o facto de se dedicar, desde o início” à cibersegurança, vai levar a que todos os intervenientes no desenvolvimento passem “a ter atenção específica à segurança, quer por imposição metodológica quer por via das ferramentas usadas”, e que “a qualidade do código inicial suba e o risco associado a custos de correção tardia de problemas baixe”.