Segurança da Informação e Desenvolvimento Seguro na era da Privacidade e Proteção de Dados

A Segurança da Informação já é pródiga em siglas, números e demais códigos que compõe sua “sopa de letrinhas”. Esta sopa encorpou no ano de 2018 com o GDPR (Regulamento Geral sobre a Proteção de Dados) entrando em vigor na União Europeia e a LGPD (Lei Geral de Proteção de Dados) aprovada no Brasil. Ambas obrigam as empresas a adequarem seus sistemas.

O GDPR tem público diverso, pois, são muitos os países europeus. Este artigo focará na LGPD, pois, é direcionada aos dados pessoais de brasileiros. Os conceitos técnicos apresentados atendem aos requisitos de ambas e, na sua maioria, têm origem no PCI DSS (https://pt.pcisecuritystandards.org/index.php), pois, esse trata a privacidade dos dados.

O principal requisito do PCI para a adequação das empresas aos controles da LGPD é o Requisito 6, referente a desenvolvimento seguro. O processo em si e os testes que são feitos antes de uma aplicação ser aprovada para processar os dados do portador do cartão de pagamento são baseados no OWASP Top 10 (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project). Esse padrão lista as vulnerabilidades mais comuns em aplicações web, o que inclui os Apps para dispositivos móveis.

Além de testar o código e a infraestrutura que o suporta, as boas práticas de Desenvolvimento Seguro incluem a vinculação com a Gestão de Mudanças e com os ambientes de desenvolvimento e de homologação, que são oriundos da biblioteca ITIL V3. Mais do que isso, um Ciclo de Vida do Desenvolvimento de Software (SDLC, em inglês) inclui práticas de Segurança por Design. Esse conjunto inclui diversos controles técnicos de SI, como o Acesso Lógico.

CAPACITAÇÃO – Segurança, Desenvolvimento e Privacidade

Não adianta dar treinamento técnico operacional aos desenvolvedores sem que eles tenham uma base teórica que os coloque no caminho da Segurança da Informação. Nesta lacuna aparece a certificação ISFS do EXIN (Segurança da Informação ISO27001), que apresenta os conceitos necessários ao Desenvolvimento Seguro por Design.

O ISFS ensina os conceitos de Gestão de Acesso, Prevenção a Incidentes, Segurança na Comunicação, monitoração do ambiente, entre outros. Com esse curso, o desenvolvedor consegue visualizar, por exemplo, a vinculação do Acesso Lógico com o IDM da empresa, a necessidade de gerar logs transacionais nas aplicações, quais protocolos usar e quais evitar para criptografar os dados recebidos no app/website.

Além do conhecimento básico para a SI, o ISFS prepara o aluno para cursos direcionados, como o Secure Programming Foundation (SPF) que visa orientar o desenvolvimento seguro de aplicações desde a definição de requisitos de segurança, concepção (design), codificação e testes.

Após entender os conceitos básicos de SI e as técnicas para pensar como um criminoso virtual, o programador poderá atuar com o Gerente de Projetos e o cliente interno de forma a criar programas que só executam o necessário (need to work), só armazenam o que a lei permite (conformidade com a LGPD) em bancos de dados sanitizados, que controlam o acesso administrativo e do usuário final através de duplo fator de autenticação (need to know).

O conceito de privacidade por projeto e por padrão previstos no GDPR e de certa forma cobertos pela LGPD fecham o circuito. Estes aspectos são tratados nos treinamentos EXIN Privacy & Data Protection Essentials (PDPE), Foundation (PDPF) e Practitioner (PDPP). Por fim, a infraestrutura será preparada para proteger os dados em camadas, garantindo que a última camada, os softwares, protejam as informações das pessoas físicas.

 

Davidson Boccardo é CTO da Clavis Segurança da Informação e Doutor em Engenharia Elétrica (UNESP). Davidson coordenou e participou de mais de uma dezena de projetos de pesquisa científica. Atua na liderança de projetos nas áreas de Gerenciamento de Eventos e Informações de Segurança, Gerenciamento Contínuo de Vulnerabilidades, Testes de Invasão, Análise de Código, Forense Computacional e Desenvolvimento Seguro. Possui as seguintes certificações: Certified Information Systems Security Professional (CISSP®) pela ISC, Certified Hacker Forensic Investigator (CHFI) pela Ec-Council, ISO 27001 Lead Implementer pela PECB, Secure Programming pela EXIN e Security+ pela CompTIA