Recentemente, conversamos sobre a importância fundamental da segurança da informação nos tempos atuais e os diferentes tipos de ataques e impactos sobre sistemas e aplicações, bem como as estratégias que o software teve para lidar com este problema. A ocasião foi com a mídia brasileira SocialSec, e pode ser lida aqui em português:
“Cultura de desenvolvimento seguro no padrão de negócios”
.

Um dos tópicos que o jornalista nos perguntou foi sobre os diferentes impactos que os ataques à segurança têm em empresas ou organizações.

Existem diferentes tipos de ataques e impactos. Os ataques de ransomware
têm um forte impacto na continuidade operacional das organizações, pois uma organização é impedida de acessar informações vitais para sua operação; como no caso de hospitais que tiveram que fechar por não conseguirem acessar as informações dos pacientes.

Quanto aos aplicativos, eles são afetados de duas maneiras: eles podem ser usados ​​como um vetor de ataque contra uma organização; por meio de uma vulnerabilidade de aplicativo, um invasor pode executar um ransomware que afeta toda a infraestrutura; e também pode afetar os aplicativos, se um ataque em andamento for bem-sucedido na criptografia das fontes de dados utilizadas (sistemas de arquivos, bancos de dados, etc.).

Para evitar esses riscos, é vital projetar, desenvolver e analisar os aplicativos para que não apresentem vulnerabilidades que possam dar origem a ataques.

Também é muito importante estabelecer políticas de backup e recuperação de desastres para voltar ao normal (
Business as usual
) o mais rápido possível se formos atacados com sucesso.

Soluções de desenvolvimento para segurança da informação e privacidade

A tendência que se tem mostrado eficaz e eficiente, em termos de custos e entrega de software (time to market), é a implantação de um Secure Software Development Life Cycle (SSDLC).

Desde a concepção da aplicação, aspectos de segurança e privacidade devem ser levados em consideração para construir um software que desde o seu design antecipe diferentes tipos de ataques e ameaças.

Durante sua construção, tarefas devem ser planejadas e executadas cujo objetivo é garantir o grau de segurança exigido.

A abordagem de apenas realizar um teste de penetração (Ethical Hacking) depois que o software é construído provou ser ineficiente e potencialmente ineficaz. É ineficiente porque envolve retrabalho que poderia ter sido executado no início do ciclo de desenvolvimento. Também pode ser ineficaz porque, em um Ethical Hacking, o profissional apenas analisa o que vê, deixando de lado potencialmente vulnerabilidades que circunstancialmente não foram descobertas.

O impacto de não realizar esta forma de desenvolvimento pode fazer com que um software totalmente desenvolvido não possa ser colocado em produção devido às suas vulnerabilidades, o que tem um impacto direto no tempo de comercialização, tornando a organização incapaz de responder em tempo hábil às necessidades do negócio.

A segurança de aplicativos está se tornando cada vez mais importante. Convido você a assistir ao seguinte vídeo:DevSecOps: Redefinindo os fundamentos da segurança com a Análise Estática do Código, onde são abordadas ferramentas que ajudam a detectar possíveis vulnerabilidades.

Estratégias GeneXus para segurança e privacidade: GeneXus Access Manager e um novo acordo com Veracode

GeneXus, como plataforma Low-Code, tem a visão de automatizar tudo o que pode ser automatizado no processo de desenvolvimento de software. Seguindo esta visão é que se resolva automaticamente no código que gera problemas de segurança, como SQL Injection ou Cross Site Scripting, para que a aplicação final gerada em GeneXus seja o mais segura possível sem adicionar complexidade ao desenvolvedor

Por outro lado, GeneXus possui um módulo de segurança, denominado GAM (GeneXus Access Manager) que resolve a autenticação e autorização de aplicações. Desta forma, com muito pouco esforço é possível garantir o acesso a todos os pontos de entrada da aplicação que está sendo desenvolvida em GeneXus, e verificar as permissões de acesso aos recursos da aplicação. Este módulo, por sua vez, permite autenticar com qualquer provedor de identidade externo por meio dos protocolos OAuth.

Por último, informamos que GeneXus assinou um acordo para ser Parceiro Veracode
em outubro de 2021. Esta aliança tecnológica nos permite integrar no processo de desenvolvimento de GeneXus as ferramentas de análise de código estáticas e dinâmicas da plataforma líder, como é o da Veracode. Com isso, buscamos não só garantir os controles de qualidade do que produzimos em Genexus, mas também facilitar a vida de nossos clientes que utilizarão esta plataforma para validar suas aplicações geradas em GeneXus.

Desta forma, a aliança será altamente benéfica para que os clientes GeneXus demonstrem com facilidade a segurança de suas aplicações, abreviem os ciclos de vendas e ganhem vantagem sobre a concorrência.

Esperamos ajudar nossos clientes a reduzir vulnerabilidades de alta severidade, e também reduzir falsos positivos em relatórios de segurança, quando nossos clientes utilizam a plataforma Veracode para analisar aplicações construídas com GeneXus.

Também pode estar interessado em ler os seguintes artigos do GeneXus Community Wiki:

• 
  One Time Password em GAM
• 
  Two Factor Authentication em GAM
• 
  Segurança da informação: a importância de não repetir senhas
• 
  Curso GeneXus grátis: Introdução ao GAM