Ao falar do universo no mundo open, nos referimos, automaticamente, à comunicação com extenso uso de APIs – Application Programming Interfaces ou Interface de Programação de Aplicação. Isso porque, cada vez mais o mercado está aderindo às APIs para trocar informações de negócio e viabilizar que as empresas colaborem entre si, trocando informações de clientes, ampliando consideravelmente as oportunidades de negócio. Um bom exemplo disso é o open banking, que, por meio da autorização prévia dos titulares dos dados, permite que as instituições financeiras troquem informações de clientes entre si para viabilizar diversos tipos de negócios e transações.
As organizações que detém os dados podem fazer essas interconexões das informações de diversas maneiras. Mas é primordial garantir que esse compartilhamento de dados aconteça de forma segura. A grande questão é que, hoje, com o advento da cloud computing, o time de desenvolvimento opera em um ambiente bastante dinâmico e ágil. Isso é ótimo para atender todas as demandas de novidades que surgem. Porém, com a aceleração do deploy e das aplicações, muitas vezes, a segurança da informação fica em segundo plano.
Na prática, isso quer dizer que, principalmente em períodos de maior cobrança sobre o negócio, existe uma pressão muito grande sobre as equipes para colocar as soluções de tecnologia para funcionar. E, na ânsia de cumprir prazos e manter ou superar a competitividade, o quesito segurança é visto como algo que pode atrasar o cronograma ou inflar os investimentos.
A segurança da informação deve nascer com a solução
É exatamente por essa situação comum que eu vejo a necessidade de valorizar o DevSecOps, abreviação para development, security and operations, ou seja, desenvolvimento, segurança e operação. Trata-se de um conceito que garante que a camada de segurança das aplicações seja observada em todas as etapas da esteira de desenvolvimento das ferramentas, desde os primeiros estágios do processo, elevando o nível de qualidade da aplicação e acelerando o seu deploy evitando retrabalho para correção de vulnerabilidades que colocam em risco os serviços
Os cibercriminosos são especialistas em encontrar vulnerabilidades
O segundo ponto que destaco é que toda comunicação feita por meio de APIs seja, de alguma forma, monitorada para evitar ataques cibernéticos. Digo isso porque percebo, com base no contato com ambientes digitais de clientes em geral, que os atacantes já começaram a buscar dentro dos sistemas as APIs existentes, forçando diversos códigos em busca de vulnerabilidades, falhas de desenvolvimento ou interfaces muito abertas. Esses ataques são bastante silenciosos, e sem soluções adequadas para monitorar o conteúdo das APIs, pode-se ter dados violados na mesma velocidade em que são compartilhados.
Duas formas de superar esses desafios
Não há dúvidas de que, no mundo open, a segurança da informação é mandatória. Nesse sentido, pensando no desenvolvimento seguro, minha recomendação é que as soluções sejam desenvolvidas com o apoio de uma ferramenta que faça testes de falhas e de vulnerabilidades durante todo o processo. Já no quesito proteção de aplicações e APIs, hoje, uma das soluções mais eficientes é a de Web Application Firewall -, que monitora o que está sendo trafegado pelas APIs, bloqueia comportamentos incorretos, acessos maliciosos e, por consequência, reduz as quantidades de fraudes e risco de segurança nessas transações.
LGPD: um motivo a mais para levar esse assunto de segurança à sério
No universo de troca de informações entre organizações, o primeiro ponto de atenção é ter o consentimento do titular dos dados para essa ação. Depois, é preciso garantir que essas informações, e apenas essas informações, estejam contidas na transação entre as empresas, ou seja, elas não podem ser desviadas nem perder sua integridade. Esses são alguns dos princípios básicos da Lei Geral de Proteção de Dados (LGPD).
Respondendo à pergunta do título deste texto, o que as empresas precisam saber para navegar nesse universo da colaboração é que unir boas práticas de compliance, privacidade e segurança é o que tem levado as organizações digitalmente maduras a níveis competitivos cada vez mais elevados. Essas corporações estão muito focadas em expandirem seus negócios e não podem perder tempo corrigindo falhas de forma manual e reativa, que poderiam ser melhor endereçadas desde o início do ciclo de desenvolvimento e que podem ser mitigadas com processos de automação durante a etapa de produção. Visibilidade e automatização são chaves para garantir a segurança no mundo open.