Quando uma startup deve investir em segurança digital?

Conversamos com especialistas do Guiabolso para descobrir como a segurança deve estar inserida no desenvolvimento de soluções de startups

0
shares

Você deve imaginar a resposta para a pergunta no título: sempre. No entanto, além de investir em segurança digital, é importante fazê-lo com as melhores práticas. Para profissionais de tecnologia do Guiabolso, esse é um processo contínuo presente desde o começo do desenvolvimento de soluções.

“A segurança deve fazer parte de todos os processos no dia a dia, não só depois, no lançamento. Um dos benefícios é de conseguir corrigir falhas antes de darem errado”, conta Gabriel Lisboa, engenheiro de segurança especializado em sites (Site Reliability Engineering) da startup. Criada em 2012, a fintech realiza uma gestão financeira a partir da integração diretamente da conta bancária dos clientes. O processo envolve que os usuários coloquem suas senhas eletrônicas das contas, o que explica a grande preocupação com segurança de dados.

Uma iniciativa comum de empresas é de desenvolver uma solução de tecnologia e deixar a segurança como o último passo. No entanto, além da maior dificuldade em perceber e solucionar falhas, a empresa também pode perder em agilidade – algo cada vez mais importante em empresas digitais.

“Podemos passar para o próximo estágio com mais acerto e menos retrabalho, sem grandes impactos”, afirma Rafael Araújo, líder de segurança do Guiabolso. Para aumentar a rapidez em conferir cada etapa realizada ao invés de todo o trabalho no final, os empreendedores e profissionais de tecnologia podem contar com ferramentas específicas.

Não importa o tamanho da sua empresa ou o capital disponível para investimento em segurança. Existem desde consultorias específicas até softwares de código aberto disponíveis para uso. Um exemplo de código aberto (ou seja, livre para uso) citado por Araújo é a SonarQube, especializado em detectar bugs em mais de 20 linguagens de programação. “Começar com o mínimo, com automação, é um bom caminho para dar o primeiro passo”, afirma.

Para os iniciantes, é importante conhecer o “top 10” de possíveis vulnerabilidades. A lista foi criada pela OWASP, “Projeto Aberto de Segurança em Aplicações Web”, e está disponível em português.

Para aqueles que desejam se aventurar um pouco mais, existem ferramentas pagas, como o Burp, que realiza testes de segurança em aplicações. Para operações ainda maiores, é possível pensar em líderes e profissionais especializados em segurança – como o próprio Araújo.

“Hoje a nossa equipe está dentro do time de engenharia e tem o objetivo de garantir sobriedade. Estamos pensando em cada equipe de tecnologia ter um representante de segurança no time”, conta o líder.

Testes caixa-preta

Além das ferramentas, os times de tecnologia podem contar com consultorias externas para uma “auditoria” em códigos e softwares. “Recomendamos que, ao menos, de seis em seis meses seja realizado esse tipo de testes caixa-preta”, diz Gabriel Lisboa.

Os testes caixa-preta são utilizados para verificar como é a saída dos dados. O nome de “caixa-preta” é devido ao seu caráter de mapear riscos e possíveis vulnerabilidades, chegando ao âmago do software.

Atualize-se em apenas 5 minutos


Receba diariamente nossas análises e sinta-se preparado para tomar as melhores decisões no seu dia a dia gratuitamente.

Comentários