“Pensar em segurança é uma mudança cultural”, comentam especialistas ao analisarem vazamento de dados de clínica em Cascavel

Evento on-line da Assespro-PR apontou medidas de proteção a serem adotadas por empresas, para estas estarem em conformidade e garantirem a segurança.

Em plena crise causada pela pandemia de Covid-19, a The Hack apurou o vazamento de 2,3 mil laudos de pacientes de uma tradicional clínica médica da cidade de Cascavel (PR), incluindo PDFs com resultados de colonoscopia e endoscopia. A investigação averiguou que a instituição deixou de proteger um diretório do seu servidor web. Desde 2013, mais de 13 bilhões de registros foram perdidos ou roubados, segundo as estatísticas do site do Breach Level Index. Os exemplos, reais, colocam em pauta uma realidade cada vez mais discutida: a segurança de dados.

“Estamos vivenciando momentos pesados em relação ao vazamento de informações e as empresas ainda não sentiram no bolso, mas logo sentirão, e verão como isso pode impactar na imagem da empresa. Estarmos preocupados com a segurança deve ser uma constante”, disse o presidente da Associação das Empresas Brasileiras de Tecnologia da Informação do Paraná (Assespro-PR), Lucas Ribeiro, durante a abertura de mais um DevTalk – evento on-line promovido pela entidade  cujo tema foi a preparação dos times de desenvolvimento para o enfrentamento da segurança.

Lucas Ribeiro, presidente da Assespro-PR

A pandemia, que colocou o mundo em isolamento, aproximou as pessoas da tecnologia. Na hora da compra virtual, lá vai o CPF para o cadastro do e-commerce. No pagamento, via transferência, senhas e cifras são digitadas. O cotidiano é muito mais digital e é justamente para evitar prejuízo às empresas e às pessoas que todo cuidado é pouco: segurança é assunto sério e precisa ser implantada na rotina dos times de desenvolvedores.

É isso o que propõe Wagner Elias, profissional experiente na área, CEO da Conviso, empresa especializada em segurança de aplicações e associada da Assespro-PR. “Os incidentes ocasionam um grande impacto. Dados de privacidade das pessoas podem ser vazados da empresa A e utilizados para ataques em várias outras. Por isso, pensar em segurança é uma mudança cultural e exige uma série de práticas dentro das empresas”, aponta. “Nós pensamos em segurança o tempo todo, no nosso emprego, na nossa sociedade, para a nossa família, mas quando a gente fala em tecnologia/sistema, a gente não pensa.”

No entanto, ao adotar as medidas de proteção, é preciso cuidado. “O que a gente vê bastante são empresas tentando buscar atalhos. Eles existem, se ganha tempo, mas não se pode confundir conformidade com segurança. Segurança é muito mais que um selinho no site para dizer que ele é seguro. Segurança é construir e não encontrar vulnerabilidade para correção”, diz.

Uma solução com boa resposta é o chamado DevSecOps, um conceito de integração DevOps (conjunto de práticas que são focadas na integração e colaboração entre times de desenvolvedores de software e outros profissionais de TI) e automação de processos de segurança da informação. Isso garante a oferta de software seguro sem comprometer a velocidade de entrega ou a qualidade da colaboração que os modelos ágeis impõem às equipes. “As empresas passaram a enfrentar pressões para aumentar a velocidade de entrega de seus sistemas, e ter métodos de desenvolvimento seguros e flexíveis é o melhor caminho.” Em um panorama em que mais de 60% dos programas não apresentam os pré-requisitos de segurança básicos (dados da Conviso), o DevOps vem ganhando destaque. Tudo, a partir da automação de rotinas e integração de times.

A agilidade em dar essa resposta com boa segurança é real. Elias, ao relembrar os pilares do Manifesto Ágil (formato de gerenciamento que nasceu em 2001 nos Estados Unidos), destacou um em especial: “torne a segurança um pré-requisito”. O CEO lembra que a segurança não deve ser um processo paralelo ao desenvolvimento do projeto, mas, sim, em conjunto, sob a responsabilidade de todos e não apenas do time de programação. “Todos têm que ter o mesmo objetivo, que é o de construir softwares de qualidade.”

A má notícia é que, embora existam mecanismos de proteção, não há uma receita pronta para garantir segurança. Nas grandes empresas que investem milhões ou nas pequenas que aplicam milhares, sempre haverá risco. A diferença é que existem empresas mais maduras do que outras. A máxima é uma só: cliente. Afinal, todos os esforços de entrega de bons e seguros produtos são direcionados a ele.