Sua empresa tem uma ideia matadora para um aplicativo inovador ou um produto conectado, e você está naquele estágio inicial de céu azul e quadro branco. Você terá muitas oportunidades para construir sua cadeia de distribuição, criar anúncios atraentes e iniciar o burburinho nas mídias sociais. Mas há um trabalho que não pode esperar. Agora é a hora de começar com a segurança – e isso inclui a implementação de boas práticas de segurança no desenvolvimento de novos produtos.
Especialistas em tecnologia dirão que é difícil enxertar segurança após o fato. Uma estratégia sólida – e mais uma oportunidade de conquistar a confiança do consumidor – é construir segurança desde o início. As investigações da FTC, as ações de aplicação da lei e as experiências que as empresas compartilharam conosco sugerem a importância de começar pela segurança no desenvolvimento de produtos. Aqui estão exemplos coletados dessas fontes.
Treine seus engenheiros em codificação segura.
O valor que sua empresa atribui à segurança sólida dos dados pode não ser “absurdo”. . “Diga as coisas de forma clara, sincera e frequente. Crie um ambiente de trabalho onde seus funcionários sejam incentivados em todas as fases do desenvolvimento do produto para a segurança. Do conceito ao mercado e além, deixe clara sua expectativa de que os funcionários mantenham a segurança na vanguarda de suas decisões. Em última análise, é a melhor estratégia para seus clientes, sua reputação corporativa e sua lucratividade.
Exemplo: Uma empresa que lança um novo produto de software enfatiza a importância de seus engenheiros de software codificarem rapidamente para que o produto chegue ao mercado o mais rápido possível – e os engenheiros cumpram os prazos de codificação internos. Mas só depois de o produto estar nas mãos dos consumidores é que a empresa descobriu que os engenheiros tinham criado repetidamente códigos suscetíveis a vulnerabilidades de segurança comuns e bem conhecidas, para as quais havia soluções disponíveis. Para resolver o problema, a empresa teve que implementar uma solução dispendiosa após o fato. Uma prática mais eficiente – e, em última análise, mais econômica – seria a empresa enfatizar a importância da codificação segura para seus engenheiros de software durante todo o processo de desenvolvimento e fornecer o treinamento necessário para atender a essas expectativas.
Siga as diretrizes da plataforma para segurança.
Começar pela segurança não significa começar do zero. Todas as principais plataformas têm diretrizes para os desenvolvedores ajudarem a proteger dados confidenciais. As empresas inteligentes levam esse conselho em consideração ao projetar novos produtos.
Exemplo: uma empresa Crie um aplicativo móvel para duas plataformas de aplicativos diferentes. Ambas as plataformas exigem que os dados sejam criptografados em trânsito e ambas possuem interfaces de programação de aplicativos (APIs) que fornecem criptografia padrão do setor. Ao usar a API da plataforma de maneira adequada, os engenheiros da empresa podem ajudar a manter os dados seguros.
Verifique se os recursos de segurança funcionam.
Manter um guarda-chuva no carro é uma ideia inteligente, mas verifique-o quando o sol estiver brilhando. Não espere que caia uma chuva torrencial para descobrir que as costelas estão tortas ou que o cabo está quebrado. Da mesma forma, é aconselhável incorporar recursos de segurança em seus produtos, mas verifique se eles estão habilitados e funcionando corretamente antes de lançá-los no mercado.
Além disso, se você fizer qualquer afirmação aos consumidores sobre a natureza da segurança que seu produto oferece, essas declarações devem ser verdadeiras e apoiadas pelas evidências que você possui antes de começar a vender. “Mas não fazemos nenhuma reivindicação relacionada à segurança.” Talvez sim, mas você tem certeza? De acordo com a Lei FTC, as empresas são responsáveis por todas as representações – expressas e implícitas – que os consumidores fazem a partir dos materiais de marketing da empresa em circunstâncias que atuem razoavelmente. Isso inclui declarações ou descrições divulgadas na TV ou no rádio, na mídia impressa, no seu site, na publicidade on-line, nas embalagens, nas redes sociais, nas políticas de privacidade ou na App Store. As empresas são livres para colocar os recursos de segurança em destaque em seus materiais de marketing, desde que respeitem os padrões estabelecidos de veracidade na publicidade. Portanto, antes de divulgar os benefícios de segurança de seus produtos, verifique se eles cumprem suas promessas publicitárias.
Exemplo: Uma empresa que vende um aplicativo de orçamento doméstico veicula um anúncio alegando que seu produto tem “segurança de nível bancário”. Mas a empresa não possui um programa de segurança escrito, não realiza avaliações de risco, não treina seus funcionários em práticas seguras de dados e não implementa outras práticas comumente associadas à “segurança de nível bancário”. Ao fazer declarações falsas ou infundadas, a empresa pode ter violado os padrões estabelecidos de veracidade na publicidade.
Verifique se há vulnerabilidades comuns.
Existe alguma maneira de tornar seu produto 100% à prova de hackers? Sem voltar aos tempos das latas presas a cordões, a resposta é não. Mas existem etapas que você pode seguir para proteger seus clientes contra vulnerabilidades conhecidas que podem ser evitadas com ferramentas de segurança testadas e comprovadas. A boa notícia é que muitas dessas ferramentas estão disponíveis gratuitamente ou com baixo custo Antes de lançar seu produto, certifique-se de que ele esteja pronto para o horário nobre. Verifique-o para ter certeza de que construiu defesas contra riscos conhecidos.
É claro que novas ameaças surgem periodicamente, por isso a segurança deve ser um processo dinâmico no seu negócio. Os protocolos de segurança implementados para o produto do ano passado podem não ser suficientes para a versão 2.0. Como você pode ficar atento à proteção contra as ameaças mais recentes? Há um vigoroso debate público entre investigadores, tecnólogos, membros da indústria, agências governamentais e outros empenhados em respeitar a segurança. Acompanhe suas discussões em sites confiáveis, preste atenção aos avisos sobre novos riscos e modifique suas decisões de design de acordo.
Exemplo: Uma inscrição para corrida de 10K exige que os inscritos insiram seu nome, endereço, data de nascimento, número de cartão de crédito e tempo mais rápido de 10K. Os dados são armazenados em um banco de dados SQL que agrega dados de eventos de corrida em todo o país. Os organizadores do evento não consultaram recursos gratuitos para se manterem atualizados sobre os riscos de segurança e não realizaram nenhuma análise de código ou teste de penetração para avaliar se seus aplicativos eram vulneráveis a ataques de injeção de SQL. Mantendo-se atualizados com recursos gratuitos – por exemplo, o Projeto Top Ten da OWASP – os organizadores de eventos podem reduzir o risco de as informações pessoais dos pilotos serem expostas a acesso não autorizado.
Exemplo: Uma empresa de aplicativos consulta regularmente recursos públicos, como o US-CERT, para obter informações atualizadas sobre ameaças cibernéticas. A empresa percebe que um produto que está desenvolvendo tem uma falha de segurança que alguns hackers começaram a explorar Ao detectar o problema antecipadamente e implementar uma solução adequada, a empresa protegeu os seus clientes e a sua reputação.
O que as empresas podem aprender com este exemplo? Construir segurança desde o início é uma abordagem económica à inovação.