Desenvolvimento Seguro

Desenvolvimento Seguro

Incidentes de segurança, ataques aos principais sistemas das empresas se intensificaram após a pandemia. Assim, a preocupação com a segurança da informação precisa ser cultural, principalmente porque sabemos que não existe uma medida que garanta 100% da integridade dos dados, mas, sim, uma combinação de procedimentos que podem ser seguidos por toda a fundação, a fim de minimizar a chance de que a falha ocorra e, principalmente, de conter os danos causados por ela. Para isso é fundamental compreender o risco, estar sempre atento aos ataques mais conhecidos e estudar as maneiras de elaborar um código mais seguro.

Ao planejar seu sistema, envolva as equipes responsáveis da TIC para que as premissas básicas inclusive as de segurança do sistema sejam aprovadas e documentadas.

É importante estar atento a alguns componentes básicos de segurança:

• ponto único de autenticação e autorização;
• auditoria e logs;
• proteção de dados sensíveis;
• segregação de dados;
• controle de versão;
• grupos de perfil para autorização e granularidade;
• proteção contra ataques.

__________________________________________________________________________________________

Toda homologação e manutenção precisam ser realizadas de maneira processual. Ter um responsável e envolver as demais equipes de trabalho. Cada nova versão precisa vir acompanhada de um documento que descreva o que mudou.

Esse documento deve conter:

• os arquivos que foram alterados;
• os requisitante da alteração;
• o homologador de sistemas;
• a autorização do usuário homologador;
• a autorização do coordenador para colocar o projeto em produção;
• a autorização de segurança (se for um componente crítico).

__________________________________________________________________________________________

Evite as falhas clássicas de desenvolvimento de código como:

__________________________________________________________________________________________

Para saber mais sobre essas falhas e como implementar medidas para evitá-las, você pode usar como referência o OWASP Top 10, um documento padrão de conscientização para desenvolvedores e segurança de aplicativos da web. Nele também é possível encontrar as técnicas de tratamento dos dados sensíveis dos dados de criação de testes de segurança.