Cyber Security: Como Criar Produtos Mais Seguros

Cartões virtuais, transações digitais, códigos de acesso via SMS e biometria. Você com certeza já está familiarizado com essas etapas de segurança e verificações de identidade, solicitadas na realização de qualquer operação financeira online. Elas existem porque implementar medidas de Cyber Security tornou-se algo essencial para negócios digitais, e claro, para a proteção de seus usuários. 

Atualmente, garantir a segurança de dados e informações sensíveis disponíveis na rede é mais do que um dever das empresas: é um direito de privacidade do cidadão, e está previsto na Lei Geral de Proteção de Dados Pessoais (LGPD). Mas afinal, qual o impacto da Cyber Security nos negócios? Como seus produtos digitais podem ser mais seguros?  

Para buscar respostas para essas perguntas, entrevistamos o Arquiteto de Sistemas e Sócio da SoftDesign, Ricardo Camelo, que atua em cibersegurança desde 2021. No conteúdo abaixo, abordamos conceitos, teorias e ações de segurança que toda empresa deve colocar em prática para evitar ataques hackers, vazamentos de dados e golpes na internet. 

Segurança no Ambiente Online 

SoftDesign – O que é Cyber Security?

Ricardo Camelo – Cyber Security é uma série de processos, ferramentas e metodologias. Ela ajuda a evitar falhas de segurança em vários níveis, desde a parte de hardware, infraestrutura, software e sistemas, até os canais onde os usuários interagem com as soluções digitais.  

Quando falamos em Cyber Security, ainda é muito comum que pessoas associem o termo a roubos em instituições bancárias, mas a verdade é que essa prática nos protege de muitos outros cenários. Afinal, quando garantimos a segurança de computadores e servidores também protegemos informações disponíveis na internet.  

Foi justamente para reforçar essa segurança que a LGPD entrou em vigor em 2020. Sua principal função é proteger o cidadão e seus dados, não permitindo que informações que possam estar na posse de entidades, empresas e governos sejam liberadas de forma indiscriminada, sem o consentimento dos usuários.  

Na prática, a Cyber Security existe justamente para barrar ações maliciosas no ambiente online. Eu acredito que a segurança é tão forte quanto o elo mais fraco da cadeia, ou seja, não adianta um determinado negócio digital ser altamente sofisticado no que diz respeito à proteção de APIs (Application Programming Interface) sendo que sua máquina executora é totalmente insegura.  

Essa exposição pode se transformar em um vetor de ataque, que pode ser uma falha no banco de dados ou um firewall mal configurado, por exemplo. Felizmente, existem diversas ferramentas que ajudam a prevenir esse tipo de situação, evitando que clientes e empresas sejam lesados por golpistas, fraudadores, hackers e organizações criminosas. 

Proteção é a Alma do Negócio 

SD – Já que as pessoas e empresas estão cada vez mais presentes no ambiente online, qual a importância da Cyber Security para a proteção de negócios digitais?  

RC – Depende muito da área, mas imagine que uma determinada empresa possui uma falha de segurança numa aplicação, e um vazamento de informações ocorre devido à um ataque hacker. Consequentemente, essa organização irá ferir a LGPD. Mais, se algum ente malicioso roubar dados como nome, CPF e endereço, esse problema se tornará realmente grave, pois poderá resultar em golpes.   

Se essa situação for detectada pelo governo, a empresa poderá ser autuada com multas elevadas. Além de ter que arcar com esse prejuízo financeiro, também será responsabilidade da organização mitigar o problema. Ou seja, ressarcir clientes e investir ainda mais em cibersegurança para que outros vazamentos não ocorram. 

A Cyber Security é importante para os negócios digitais justamente porque ajuda a reduzir riscos. Quando as empresas pensam a segurança de seus produtos e serviços apenas no final do Desenvolvimento de Software, implementar tais ferramentas torna-se algo caro e o assunto acaba sendo deixado de lado.   

Por isso, existe uma máxima chamada Shift Left, que propõe que a segurança seja analisada e testada ao longo de toda a cadeia de produção. Afinal, existe todo um processo que foi desenvolvido especificamente para um determinado negócio e ele pode ser falho desde a sua concepção.  

Logo, é fundamental que Product Owners (POs) pensem o modelo de negócio junto ao cliente e coloquem a Cyber Security como um pré-requisito. Se isso não for sugerido e determinado antes, o Programador não terá muito o que fazer para tornar a solução mais segura.  

Segurança da Ideia ao Resultado 

SD – Isso quer dizer que a Cyber Security precisa estar presente em toda jornada de desenvolvimento de produtos? 

RC – Sim! A segurança também precisa fazer parte das histórias de usuários e cenários de testes para que seja possível prever situações e ataques. Perguntas como: “quão fácil é consumir determinado produto de forma ilegítima?” e “quão vulneráveis estão os dados dos usuários?” são cruciais para o sucesso de uma solução digital.   

Ao deixar a implementação da Cyber Security apenas para o final do desenvolvimento, será necessário refazer uma série de processos, e isso impacta no valor do investimento. Por incrível que pareça, ainda existem negócios digitais que nem pensam no assunto e, por isso, estão ainda mais expostos a vazamentos e ataques que podem resultar em crises de Imagem e Reputação.  

Questione-se: qual usuário irá consumir um produto ou serviço vulnerável? Imagine que esse seja o caso de um marketplace, por exemplo. Além dos usuários finais, existem também os clientes que comercializam seus produtos na plataforma. Será que eles irão manter a confiança na empresa depois de seus dados serem divulgados na internet? 

Cuidado! Área de Risco 

SD – E quais são os principais riscos de segurança que merecem a atenção das empresas?   

RC – As empresas estão expostas a vários riscos de segurança. Entre eles estão: Risco de Imagem (pode acabar com um negócio), Risco Financeiro (pode gerar perda de dinheiro por meio de vazamentos de dados de cartões de crédito, por exemplo), Risco Jurídico (usuários insatisfeitos podem processar a sua empresa) e Risco Legislativo (multas aplicadas pelo governo devido infrações).    

Pensando nesses riscos, podemos ressaltar que os mecanismos de segurança servem justamente para salvaguardar empresas, evitando que elas percam dinheiro e credibilidade. Nos últimos anos, toda a base tecnológica de desenvolvimento migrou para a Nuvem e APIs alocadas na internet, que teoricamente podem ser acessadas por qualquer pessoa. 

Sendo assim, empresas que não investirem em segurança estarão cada vez mais suscetíveis a ataques. Por isso, é importante compreender que a Cyber Security existe exatamente para manter o negócio vivo. Entretanto, devemos lembrar que no universo da segurança o maior risco ainda é o fator humano.  

Podemos contratar a melhor consultoria de segurança que ainda assim não há o que fazer se o usuário final fornecer seu nome e senha a um ente malicioso. Mitigar esse tipo de risco não é possível, mas existem formas de diminuí-lo. Educar os usuários das soluções digitais é uma delas. 

Por um Mundo Digital Mais Seguro 

SD – Podemos dizer que a Cyber Security é essencial tanto para startups que estão criando um produto digital, quanto para corporates que já possuem um banco de dados consolidado?  

RC – Sim! Muitos empreendedores ainda acreditam que os únicos negócios que precisam se preocupar com Cyber Security são as instituições financeiras, e isso não é verdade. Entretanto, bancos e fintechs possuem sim um regramento mais complexo e, por consequência, acabam investindo mais em segurança para poder operar. 

Isso é facilmente visualizado na prática, pois cada cliente de uma instituição bancária possui autenticações de identidade, aliadas a senhas transacionais e a um segundo fator, que pode ser uma notificação com código de acesso via SMS ou biometria. Porém, é importante ressaltar que todo tipo de negócio deve sim implementar ações de segurança. 

O mercado financeiro possui toda uma normativa de regras que precisam ser seguidas. Por exemplo, quando um cliente de um banco está fora do seu país de origem, pode ser necessário avisar sobre essa movimentação geográfica para ter acesso ao cartão de crédito no exterior. Analisar o comportamento dos usuários e definir padrões como esses são ações essenciais para todo negócio. É por isso, que às vezes recebemos ligações para validar compras que são consideradas suspeitas. 

Quem faz a análise de segurança é quem define quais processos e negócios precisam ser mitigados. No fim, essa é uma escolha do investidor, que pode optar por tratar apenas algumas das questões diagnosticadas, assumindo o risco pelas demais. Lembre-se: negócios são feitos de riscos e eliminá-los é impossível, seja em startups ou corporates. 

Inovar e Proteger 

SD – Para reduzir os riscos é cada vez mais comum que apps e plataformas do setor financeiro estipulem etapas de verificação para concluir transações bancárias. Inclusive, recentemente, o Nubank lançou a ferramenta “Modo Rua” para proteger seus clientes contra roubos e furtos. Reforçar a segurança no ambiente digital é uma tendência? 

RC – Essa biometria facial do “Modo Rua” é chamada de prova de vida. Seu objetivo é confirmar que de fato é o usuário proprietário da conta que está efetuando determinada transação. Porém, esse mecanismo também é suscetível a fraudes, já que dependendo do tipo de sistema é possível sim burlar o escaneamento facial.  

O que eu quero dizer é que indiferente de ser uma tendência, não existe ainda uma solução que facilite a vida do usuário e garanta segurança máxima. Por isso, algumas instituições preferem dificultar o acesso aos seus aplicativos. Em alguns casos, é necessário ir à agência bancária, assinar autorizações e criar senhas, e essas são as empresas que recebem menos ataques.  

Na minha opinião, a biometria é um dos melhores mecanismos de prova de vida que temos hoje, mas com o avanço da Inteligência Artificial (IA) também podemos usar esses mesmos mecanismos de proteção para promover ataques. De acordo com a minha experiência, é muito difícil entregar 100% de usabilidade quando a preocupação principal é a Cyber Security.  

Cyber Security X Usabilidade

SD – Pensando nisso, existe uma forma de equilibrar Cyber Security e Usabilidade?  

RC – Usabilidade e segurança são duas forças contrárias. Às vezes, quando desenhamos um processo menos seguro, geralmente o foco está voltado para o usuário. Pense comigo, que tipo de login seria mais fácil em um aplicativo: o que simplesmente pede dados de e-mail e senha, ou aquele que exige também várias etapas de validação, incluindo biometria?  

Encontrar um equilíbrio é muito complexo e não existem estudos na área que apontem uma fórmula mágica. De acordo com o NIST (The National Institute of Standards and Technology), órgão americano que dita normas de segurança, a senha ideal é composta por 30 caracteres. Mas quem usa uma senha desse tamanho hoje em dia? Se fossemos colocar todas as indicações em prática, os aplicativos seriam praticamente impossíveis de usar.  

Por isso, muitas vezes, as empresas acabam assumindo o risco, para não serem substituídas pela concorrência. Porém repito, o elo mais fraco no processo de segurança é o fator humano, ou seja, o usuário. A prova de vida até alguns anos atrás era a solução para todos os problemas, atualmente com a evolução da IA já não é mais.  

Fala-se muito da nova Revolução Quântica, em criptografia e assinaturas digitais, mas isso ainda não está muito difundido em nossa sociedade. O que sabemos é que a cada ano que passa as soluções de segurança que implementamos são rebatidas mais rápido. Logo, precisamos compreender que Cyber Security é um processo contínuo, ou seja, não é algo que você faz uma vez e está resolvido.  

Boas Experiências Importam

SD – Isso significa que para garantir confiança e proteção em produtos digitais precisamos renunciar à User Experience (UX)?  

RC – Significa que na prática, muitas vezes, iremos criar mecanismos que podem ir contra a usabilidade para tornar o acesso seguro e confiável. Quando adicionamos esses fatores às aplicações já existentes, por exemplo, podemos gerar atritos com usuários que já estavam habituados com processos mais simples.  

A verdade é que a Cyber Security impacta sim a User Experience mas são essas medidas que diminuem o risco de fraudes. Essa questão da usabilidade versus segurança depende muito de cada negócio e de como avaliamos os riscos. Essa é uma conta difícil de fazer, pois muitas vezes não temos elementos concretos para tal análise.  

Pense em um sistema que ainda não tem usuários: como equilibramos segurança e UX? Eu acredito, que o primeiro passo é buscar apoio na LGPD. E aqui me refiro não apenas a questões de consentimento, mas sim das fraquezas do produto, que podem ser usadas por um ente malicioso para ferir a legislação.  

Segurança É Uma Responsabilidade de Todos 

SD – Quem são os profissionais responsáveis por garantir a cibersegurança das empresas e de suas pessoas colaboradoras?  

RC – Em segurança, trabalhamos em times geralmente divididos por cores, onde cada equipe fica responsável por uma área. Por exemplo, o Blue Team é composto por profissionais que avaliam a segurança defensiva ao testar os níveis de proteção da empresa, já o Red Team é responsável pela segurança ofensiva, que é testada por meio de ataques planejados. Ainda existem o Yellow, Purple, Green, Orange e White Team para cobrir todas as vertentes da área de cibersegurança. 

Entretanto, é importante ressaltar que segurança é uma responsabilidade de todos. Não é porque a pessoa é Product Owner que não precisa ter conhecimentos em Cyber Security. É claro que isso não significa que a pessoa precisa ser especialista na área, mas todo o time de produto precisa sim ter noções básicas sobre as falhas de segurança que podem impactar negativamente o negócio.

Um PO que atua no desenvolvimento de um produto do mercado financeiro, por exemplo, precisa ter esse penso, pois essa é uma área naturalmente repleta de riscos. Assim como o Programador, que também precisa estar preparado para desenvolver soluções digitais mais seguras.  

Cyber Security é uma área de difícil acesso a bons profissionais. Atualmente, a educação formal oferecida na Academia não tem como foco a área de Segurança e os assuntos abordados em aula não conseguem contemplar toda essa gama de segmentos e mecanismos.  

A cibersegurança se tornou um tópico mais forte nos últimos anos, principalmente devido ao constante lançamento de produtos digitais. Porém, as universidades e centros de treinamentos ainda não estão preparados para essa realidade. Logo, são as próprias empresas que estão montando times para capacitar pessoas nessa área.  

Cyber Security na Prática

SD – Esse cenário reforça a importância de compreendermos algumas teorias de Cyber Security. Por exemplo, o que é Systems Development Life Cycle (SDLC)?  

RC – O Ciclo de Vida de Desenvolvimento de Software (SDLC, em inglês) prevê um planejamento de cibersegurança antecipado que tem início na Concepção, passando pelas etapas de Desenvolvimento e Testes, até a entrega do produto. Sua missão é diminuir riscos e garantir a segurança de ponta a ponta.  

O SDLC é um processo que precisa ser aplicado desde o início do projeto, e nunca podemos passar para uma nova fase sem que os critérios da fase anterior estejam completos e de acordo com os requisitos. Alguns desses processos são feitos de forma automatizada, por meio do SAST e do DAST. 

Essas soluções localizam vulnerabilidades, diagnosticam problemas e simulam possíveis ataques hackers, com o objetivo de testar os níveis de segurança dos aplicativos, plataformas e sistemas. Ao colocar o SDLC em prática, criamos produtos e serviços mais seguros e, por isso, esses mecanismos são cruciais para negócios digitais.  

Proteja o Seu Negócio! 

SD – Além do SDLC, quais são as ações que todo negócio precisa executar para proteger dados em rede e prevenir ataques cibernéticos?  

RC – Depois de implementar o SDLC, será desenvolvido um plano de ação de acordo com a necessidade e orçamento disponível. A verificação de dois fatores também é algo crucial, já que esse mecanismo protege os dados e aumenta o nível de segurança, evitando possíveis ataques.  

Atualmente, as próprias ferramentas que utilizamos já possuem proteções associadas. Isso significa que a educação em Cyber Security pode ser a sua principal aliada nesse momento. Lembre-se de divulgar campanhas internas e externas reforçando que e-mails corporativos não são enviados para contas pessoais e que ligações para solicitar dados não são efetuadas pela empresa, por exemplo.   

Todo negócio digital precisa manter sua Nuvem protegida, instalar alertas de comportamentos anômalos e rastrear tentativas de acessos ilegítimos. Afinal, a segurança precisa ser pensada de forma contínua. Além disso, lembre-se de investir na área de Suporte para garantir um atendimento eficaz e educativo.   

Outra opção é a estratégia Zero Trust, que é um tipo de mecanismo de proteção para uso corporativo. Essa ferramenta é como se fosse uma VPN mais complexa, que analisa os computadores e bloqueia determinados acessos caso o usuário não tenha o antivírus instalado ou a permissão de uso necessária. 

Com a consolidação do trabalho remoto, reforçar a segurança tornou-se ainda mais importante. O Azure AD, por exemplo, nos permite definir de qual local uma pessoa pode efetuar login, ou seja, se ela tentar acessar o sistema de um outro país não será possível. Nós vivemos em uma sociedade tecnológica e em transformação, e cada vez mais precisaremos criar e implementar mecanismos que elevem o nível de segurança dos negócios.  

Invista em Segurança

SD – E como os serviços da SoftDesign podem ajudar a reforçar a Cyber Security de empresas?  

RC – O meu foco de atuação na SoftDesign é o Desenvolvimento de Software. Hoje, sou a principal referência em Cyber Security na empresa e tenho atuado diretamente nessa área desde 2021, em um de nossos clientes do mercado financeiro que está em fase de implementação do SDLC.   

Acredito que Cyber Security é um tópico altamente complexo, que só pode ser colocado em prática por meio de um time experiente de Arquitetos de Software, Analistas de Negócio, DevOps e Especialistas em Cibersegurança. Afinal, ações nesse sentido resultam em mudanças de processos nas organizações. Pensando nisso, na SoftDesign atuamos com times multidisciplinares para criar produtos seguros e inovadores. 

Precisa de ajuda para criar produtos digitais mais seguros? Preencha o formulário abaixo e converse agora mesmo com nossos especialistas.