Cuide da segurança da sua tecnologia como cuida do seguro do seu carro
Segurança em TI é que nem seguro de carro. Você só sabe que precisa, quando precisa.
O time de segurança do Grupo Boticário(GB) tem imergido em uma jornada bastante interessante em disseminar algumas práticas de segurança no desenvolvimento e manutenção de aplicações e infraestrutura. Estou há relativamente pouco tempo no grupo (atualmente são 9 meses), mas quase desde o início já estou imerso em um programa interno nomeado Security Champions. Posso dizer que tem sido uma jornada bastante interessante para mim e, arrisco a dizer, para qualquer desenvolvedor que se preze.
O programa visa, dentre outras coisas, formar desenvolvedores em conceitos de segurança, para que atuem como evangelistas em seus times. O entendimento dessa estrutura é que a segurança não deve ser papel de apenas um time, mas de todos os envolvidos no processo, e que por isso os cuidados devem ser tomados em todos os pontos do processo — desde a descoberta da demanda até a sua entrega em produção. Para isso, o GB investe em treinamentos e acompanhamento a esses funcionários, municiando eles de informações que permitam disseminar esses cuidados e conhecimentos dentro dos seus times.
Na minha experiência pessoal, confesso que sempre tive uma queda por criar repertório em áreas diferentes das que atuo — pois acredito que essa diversidade que me dá consistência para resolver problemas diversos do dia a dia. Então, para mim, não foi difícil pensar em assumir esse desafio. Ainda assim, tem sido uma experiência muito enriquecedora, tanto por aprender novos conceitos e consolidar o que já conhecia mas nunca aprofundei, mas também por precisar ser ponto focal de uma área de conhecimento normalmente negligenciada dentro das empresas.
Sim, é verdade. Se você trabalha com alguma área no entorno de engenharia, arrisco-me a dizer que a sua empresa não prioriza segurança nos seus processos de TI, e tenho uma porcentagem considerável de estar certo. E, veja bem, quando digo “prioriza”, significa mais do que ter somente um time dedicado para olhar para a plataforma como um todo. Não que um time dedicado não seja necessário, mas ele sozinho não consegue fazer o que precisa ser feito. Esse tipo de estrutura é insuficiente para atender um mercado tão volátil e, por consequência, tão suscetível a ciberataques. Quando se tem um time especialista nesse tipo de assunto, falta-lhe braço para olhar tudo e autonomia para resolver os problemas, quando encontrados. Ou vai dizer que nunca passou pano para uma vulnerabilidade de segurança encontrada por “problemas de priorização”, porque haviam outras demandas mais urgentes e importante de negócios?
Recentemente, tivemos o sequestro dos servidores de um grande varejista do ramo de vestuário, e te digo que foi um desespero geral — não só deles, mas de todo o mercado. “Será que estamos vulneráveis?”, “Como podemos prever?”, entre outras perguntas com certeza surgiram em diversas empresas do ramo. O problema de segurança é que é um trabalho essencialmente preventivo. Quando precisa ser corretivo, o prejuízo já terá sido muito maior do que se tivesse investido anteriormente. É necessário que, desde a primeira linha de código haja preocupação com o tema, antes que as correções tomem um tamanho nada administrável.
Ao se criar evangelistas nos times, socializa-se o problema. Torna o problema de todos e, por consequência, todos são responsáveis em uma eventual crise. Se todos são responsáveis, todos se preocupam com isso, desde a concepção do projeto até a sua entrega em produção.
Estão todos engajados na iniciativa? Evidente que não — nem Jesus agradou 100%. Temos muitos desenvolvedores que acham isso papo furado e eu mesmo muitas vezes fico falando sozinho, mas muitos também demonstram interesse em aprender mais junto comigo.
A mudança de cultura é algo que demanda tempo e paciência de todas as partes, e precisa de um ponta pé inicial. E é por isso que eu vejo muito potencial em iniciativas como esta.
Olhe para segurança como olha para o seguro do seu carro. Adianta colocar seguro depois que o seu carro foi roubado?