Balwurk: “pretendemos apoiar e capacitar as empresas no movimento denominado por shift left security”

O nascimento da Balwurk cruza-se com a vontade dos sócios da Xpand IT em criarem uma empresa de cibersegurança que colmatasse falhas ao nível de segurança, nomeadamente no desenvolvimento de software por parte das organizações.

Considerada uma empresa irmã da Xpand IT, a Balwurk desenvolve, no entanto, o seu trabalho de forma independente, em duas áreas de negócio distintas: Segurança Aplicacional e GRC. O objetivo é comum e passa por garantir a segurança, by design e by default, em todo o ciclo de vida do desenvolvimento aplicacional. A área de Segurança Aplicacional é complementada com os serviços de GRC, com respostas ao nível regulatório, de conformidade e de análise de risco.

“Pretendemos apoiar e capacitar as empresas no movimento denominado por Shift Left Security, que significa trazer a segurança enquanto requisito prematuramente para o processo de desenvolvimento de software, também conhecido por security by design”, começa por explicar Ricardo Rodrigues, Head of Application Security & GRC da Balwurk.

Para além do Regulamento Geral sobre Proteção de Dados (RGPD), Ricardo Rodrigues considera que a proposta de criação do Cyber Resilience Act (CRA) a nível europeu é um dos grandes contributos para a evolução do negócio da Balwurk.

Clientes e organização do negócio

Ao nível das exigências dos clientes, o Head of Application Security & GRC da Balwurk aponta para “uma maior consciencialização das suas necessidades e exigência com o valor acrescentado na contratação dos serviços e produtos”.

Ricardo Rodrigues, Head of Application Security & GRC da Balwurk

Tanto as unidades de Segurança Aplicacional como de GRC, e respetivo portfólio de serviços, estão construídos “para dar resposta adequada às necessidades das organizações, independentemente do nível de maturidade das mesmas”.

Neste ponto, a Balwurk defende que o nível de maturidade das organizações, no que respeita à segurança aplicacional, “é tanto maior quanto mais cedo começarem a aderir ao movimento “Shift Left Security”, apostando fortemente numa postura preventiva que diminui a reatividade, “investindo na transição do ciclo DevOps para o ciclo DevSecOps”.

“Neste ciclo, o primeiro passo é o Planeamento, e nele incluímos os nossos serviços de ‘Educação e Cultura’, a par com o de ‘Modelação de Ameaças’”, esclarece Ricardo Rodrigues.

A “Educação e Cultura” para a segurança é “um serviço adaptado às reais necessidades das organizações, desenvolvendo conteúdos específicos para as equipas de desenvolvimento, procurando o envolvimento de todas as partes interessadas e participantes no ciclo de vida do desenvolvimento aplicacional e na integração operacional das mesmas, designadamente no ciclo DevSecOps”.

No caso da “Modelação de Ameaças”, o objetivo passa por “analisar a arquitetura na qual a solução aplicacional está inserida e todo o ecossistema envolvente, confrontando os requisitos funcionais da mesma com um conjunto pré-definido de cenários que ajudam a identificar possíveis ameaças de segurança e conformidade”.

O aumento da importância da cibersegurança

A Balwurk tem acompanhado de perto os episódios de ciberataques em Portugal “com muita atenção”. Presentes no mercado português desde janeiro de 2023, a organização tem procurado criar junto dos projetos dos clientes “uma verdadeira e consistente consciencialização, provando o real valor de retorno com os nossos serviços”.

Ricardo Rodrigues considera que existe uma consciencialização cada vez maior para este tema a nível nacional. No entanto, há ainda dificuldade em “transformar essa consciência em resultados efetivos”. As tendências e ameaças identificadas “constituem, em si, uma verdadeira oportunidade de melhoria para a qual a Balwurk está totalmente disponível para contribuir com a nossa missão de ajudar a construir um mundo digital mais seguro”.