Sobre prejuízos, preguiça e segurança da informação
Olá!
Se você acompanha meus textos por aqui, você já deve ter percebido o quanto eu advogo a favor de boas práticas no ciclo de desenvolvimento. Seja na parte de pessoas ou na qualidade final do software desenvolvido, digitalizar do jeito certo sempre sai mais barato no longo prazo.
Com isso dito, uma outra vertente que é muito negligenciada nas empresas — e a conta vem com juros, todas as vezes — é a segurança da informação.
Você já parou para observar quantas empresas sofrem com incidentes de segurança da informação todos os anos?
Se você nunca parou parar pensar no impacto disso, vem comigo que eu gostaria de compartilhar algumas descobertas.
Segundo a Kaspersky, em um relatório sobre o custo de brechas de segurança, 90% das empresas admitiram algum tipo de incidente de segurança. Foram pesquisadas 5500 empresas em 26 países, o que indica que esse tipo de problema não é algo isolado de um mercado específico, e sim, um problema generalizado que deve ser endereçado com a atenção devida, pois ninguém está a salvo.
Só para ficar melhor, essas são as estimativas de custo por cada incidente, divididos por empresas Enterprise (acima de 1500 funcionários) e Small and Medium Business (menos de 1500 funcionários):
Ou seja, a média de prejuízos para uma empresa grande em caso de um brecha de segurança é de cerca de meio milhão de dólares.
No momento de escrita desse artigo, o dólar está R$ 5,49. Somando custos diretos e indiretos, cada brecha em grandes empresas, custa — em reais — uma média de R$ 3.403.800,00. Nesse caso, dá para comprar uma mansão na Inglaterra. Em empresas menores, dá cerca de R$ 252.540,00. Ou seja, a cada incidente que uma pequena ou média empresa passa, um Mini Cooper S zero vai embora de prejuízo.
Um problema que é muito comum (e com certeza você já ouviu) é o clássico: não temos dinheiro para contratar alguém para resolver isso agora.
Vamos a uma conta básica para exemplificar porque é melhor para as empresas não economizarem com isso.
Segundo dados do Glassdoor, temos a seguinte média salarial de um analista de segurança sênior:
Assumindo uns R$ 9.000,00 para facilitar a conta. Um profissional desse custa em média, para empresa, cerca de R$ 192.000,00 por ano (assumindo salário mensal * 13 meses * cerca de 64% de encargos adicionais da CLT).
Ou seja, ter 1 funcionário de segurança em uma empresa pequena se paga fácil. Obviamente essa pessoa não garante a ausência de problemas, mas diminui bastante as chances de algo acontecer. Em uma grande empresa, o custo de cada brecha paga uma equipe de 17,72 (que é os 3M / 192K) analistas seniores de segurança. Dá até para contratar alguns estagiários com os 0,72 que sobraram e ajudar os jovens a se colocarem no mercado de tecnologia.
Pare para pensar um minuto o quanto de trabalho 17 profissionais seniores conseguem fazer. Dá para ter Red/Blue Teams e sobra gente! Aliás, eu acredito que o trabalho de um Red Team deve ser muito divertido.
Aqui a moral da história está bem fácil: empresas que investem em cyber security podem diminuir as chances de um incidente de segurança. Mas, sem investir no assunto a brecha muitíssimo provavelmente acontecerá.
O fato de 90% das empresas terem sofrido com isso na minha interpretação estatística significa: sua empresa não é especial, oh alecrim dourado.
Após essas descoberta, procurei saber mais sobre como eu — na posição de pessoa desenvolvedora — , posso entender melhor sobre o assunto.
Aqui vale apresentar a OWASP Top 10. Que nada mais é do que um consenso da comunidade das 10 falhas de segurança mais comuns, publicada regularmente, desde 2003. Ou seja, dá para fazer um programa de segurança na sua empresa somente com base nele. Dá uma olhada lá se você acha que precisa melhorar esse ponto onde você trabalha e não sabe muito bem por onde começar.
Mas vamos a lista histórica:
Dê uma olhada na lista de vulnerabilidades e tente observar alguns padrões. Inclusive, caso queira aprender sobre segurança, recomendo que você pesquise sobre cada uma das vulnerabilidades, vai te fazer um profissional mais consciente.
Vamos agora a ultima versão (de 2021 comparada com 2017):
Ou seja, desde 2007 Scripts Kiddies conseguem invadir sistemas usando SQL Injection com comandos simples como 1=1 em alguns bancos de dados. Para quem diz que a tecnologia muda muito rápido, aparentemente não conhece Cyber Security. Nessa área os problemas aparentemente não mudam tanto assim.
Para finalizar, gostaria de comentar brevemente com sinceridade sobre cada um dos itens:
A01:2021 — Broken Access Control: Ocorre quando alguém fica com preguiça de configurar o controle de acesso e dá permissão de admin para mais gente do que deveria.
A02:2021 — Cryptographic Failures: Ocorre quando alguém é arrogante o suficiente para implementar criptografia sozinho ao invés de recorrer a bibliotecas consolidadas.
A03:2021 — Injection: Ocorre quando alguém fica com preguiça de usar ORM.
A04:2021 — Insecure Design: Ocorre quando a pressão pela entrega tá grande no desenho do projeto e a segurança a gente "vê depois".
A05:2021 — Security Misconfiguration: Ocorre quando alguém ficou com preguiça de trocar a senha padrão ou achou que a segurança default dos serviços da Cloud é o suficiente.
A06:2021 — Vulnerable and Outdated Components: Ocorre quando alguém ficou com preguiça de atualizar as dependências do projeto.
A07:2021 — Identification and Authentication Failures: Ocorre quando alguém acha que armazenar passwords em plain text no banco de dados é uma boa ideia. Ou ficou com preguiça de criptografa-los mesmo.
A08:2021 — Software and Data Integrity Failures: Ocorre quando alguém ficou com preguiça de verificar se o código baixado da internet é confiável.
A09:2021 — Security Logging and Monitoring Failures: Ocorre quando alguém fica com preguiça de configurar o log e o monitoramento corretamente.
A10:2021 — Server-Side Request Forgery (SSRF): Ocorre quando alguém acha que o usuário não tem conhecimento técnico para manipular requests e esquece de sanitizar o input malicioso.
Ou seja, essa lista é literalmente o Karma dos profissionais de tecnologia. Praticamente são todos os pecados da categoria voltando para puxar nosso pé de noite.
Pense nisso da próxima vez que for ficar com preguiça de implementar alguma boa prática de segurança, pois, a ausência delas definitivamente voltarão para te assombrar.
Até!
Você gostou do conteúdo e gostaria de fazer mentoria comigo? Clique aqui e descubra como.