Voltar para todas as postagens do blog

Recapitulação do encontro Security by Design

Microblink cybersecurity experts sharing knowledge and learning together, collaborating to enhance security practices and stay ahead of evolving threats.

No final de 2023, algumas coisas que definiram tendências aconteceram na Segurança da Informação. Em outubro, a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA publicou seus Princípios e Abordagens para Software Secure by Design, enquanto no início de dezembro, a UE chegou a um acordo sobre a Lei de Resiliência Cibernética (CRA) que exigirá que todos os softwares executados em dispositivos clientes conectados à Internet sejam projetados tendo em mente a segurança cibernética.

Em Microblink, começamos com iniciativas para nos alinharmos à segurança por design e às práticas recomendadas padrão. A primeira delas deu início à série Security by Design Meetup e reuniu a comunidade InfoSec em Zagreb, na Croácia.

O Meetup foi um grande sucesso, atraindo mais de 100 pessoas interessadas em compartilhar experiências e conhecimentos sobre segurança cibernética. Houve duas sessões de painel: uma com desenvolvedores de software sobre procedimentos relacionados à segurança por design e suas práticas recomendadas padrão, e a segunda com membros do setor financeiro discutindo a segurança cibernética em seus processos de integração digital. Neste blog, escrevemos uma visão geral das discussões e das conclusões do primeiro painel.

Painel sobre a Lei de Resiliência Cibernética (CRA) e os Requisitos de Segurança por Design Sessão

O painel começou com uma apresentação do chefe de segurança da informação do site Microblink sobre os requisitos de CRA para segurança por design e padrão. Em seguida, houve uma discussão com um grupo estimado de especialistas em segurança das empresas mais importantes da Croácia: Infobip, Infinum, ASEE, AKD, Infigo, Diverto e Apatura, além de um representante do Croatian National Center for Cybersecurity.

Espera-se que a CRA seja transformada em lei nos próximos meses ou semanas. Ela marcará um passo significativo em direção a um futuro digital mais seguro. Mais importante ainda, o CRA tem o potencial de se tornar um criador de tendências para padrões robustos de segurança cibernética em todo o mundo.

A ideia é proteger as pessoas durante o uso de dispositivos conectados à Internet, implementando práticas de segurança rigorosas no ciclo de vida de desenvolvimento de software. Além disso, a regulamentação também exigirá que o software seja submetido a várias avaliações de conformidade, tanto interna quanto externamente, dependendo do risco das funcionalidades do produto.

O resumo dos principais requisitos da CRA com relação à segurança:

  • Desenvolvimento de produtos com implementação de medidas de segurança e práticas recomendadas em todo o ciclo de vida de desenvolvimento de software;
  • Entrega de produtos com uma configuração que é segura por padrão;
  • Entrega de produtos sem vulnerabilidades exploráveis conhecidas;
  • Mecanismos de controle que impedem o acesso não autorizado;
  • Processamento e proteção apenas dos dados estritamente necessários;
  • Funcionamento dos produtos de forma a proteger a disponibilidade das funções básicas;
  • Abordar regularmente as vulnerabilidades conhecidas por meio do lançamento de patches de segurança.

As empresas de desenvolvimento de software deverão divulgar publicamente suas medidas de segurança e os testes realizados nos produtos, juntamente com a seguinte documentação sobre seus produtos:

  • Lista de materiais do software (SBOM) para cada produto;
  • Declaração de conformidade dos produtos;
  • Uma lista de todos os clientes que usam os produtos.

As empresas cobertas pela CRA também terão que relatar incidentes e vulnerabilidades aos órgãos reguladores e a seus clientes.

Mudanças nos padrões de desenvolvimento e na vida útil do produto

Os participantes do painel enfatizaram a importância de integrar os engenheiros de desenvolvimento para que eles sigam os novos padrões de desenvolvimento, instruí-los regularmente e usar as práticas recomendadas, como o padrão de verificação de segurança de aplicativos da OWASP. Uma abordagem baseada em riscos e a modelagem de ameaças de aplicativos e serviços de alto risco serão partes obrigatórias do ciclo de vida do produto, especialmente para novos produtos.

A revisão manual de código entre colegas ainda é considerada a linha de base no desenvolvimento de código. Ainda assim, os participantes do painel enfatizaram que as ferramentas automatizadas de teste de segurança de aplicativos são uma parte necessária do processo e uma forma de garantir outra camada de segurança, mesmo que produzam muitos resultados falsos positivos. Se essas ferramentas forem configuradas adequadamente e tiverem uma visão geral de todo o fluxo de dados, elas anteciparão um erro que um ser humano trabalhando em apenas um módulo do sistema poderia ignorar.

O gerenciamento de componentes de terceiros e o impacto da comunidade de código aberto sobre a segurança dos produtos de software também fizeram parte da discussão. Embora a leitura dos SBOMs tenha sido comparada à análise da lista de ingredientes antes de comprar um sanduíche, os participantes do painel concordaram que tudo isso é útil quando acompanhado de verificações regulares de vulnerabilidade e testes de penetração. Esses programas podem ser combinados com a divulgação pública de vulnerabilidades, popularmente chamada de bug bounties, para proporcionar um processo de gerenciamento de vulnerabilidades mais eficiente.

O painel terminou com a opinião de que todas as regulamentações semelhantes à CRA e as práticas recomendadas, como a CISA, são uma grande alavanca para implementar requisitos de segurança no início e em todos os aspectos do processo de desenvolvimento. Além disso, eles garantirão que as partes interessadas compreendam e apoiem o investimento no processo. Por fim, os consumidores finais serão os mais beneficiados, pois a responsabilidade pela segurança de seus dados e privacidade será transferida deles próprios para os fornecedores, e os produtos ficarão mais seguros.

Conclusão

As discussões acaloradas, a troca de ideias e o conhecimento compartilhado sobre segurança cibernética e regulamentações futuras confirmaram que fazemos parte de uma comunidade talentosa e dedicada.

O feedback positivo e o interesse em tópicos de segurança cibernética nos motivam a criar uma plataforma comunitária na qual as pessoas possam aprender, compartilhar e analisar ferramentas para tornar produtos e ambientes mais seguros e protegidos.

Aqui na Microblink, projetamos produtos com a segurança em mente para os clientes e seus usuários finais. Os novos padrões, como o OWASP Application Security Verification Standard, abordagens baseadas em riscos e modelagem de ameaças, já fazem parte do desenvolvimento de nossos produtos. As revisões manuais de código, o gerenciamento de componentes de terceiros, os testes regulares de penetração e a verificação de vulnerabilidades garantem uma proteção robusta para aprimorar ainda mais a segurança.

Um grande agradecimento a todos os convidados, especialmente aos palestrantes, por nos ajudarem a organizar um Meetup bem-sucedido.

maio 21, 2024
automated data extraction from captured image

Experimente você mesmo

Dê uma olhada em primeira mão em nossos produtos testados e comprovados com tecnologia de IA.

Ver demonstrações

Descubra nossas soluções

Para explorar nossas soluções, você está a apenas um clique de distância. Experimente nossos produtos ou converse com um de nossos especialistas para se aprofundar no que oferecemos.

Experimente nossa demonstração Fale com um especialista
MAIS INSIGHTS

Continuar lendo

ConfirmID Identity Verification: How It Works and Better Alternatives

ConfirmID Identity Verification: How It Works and Better Alternatives

ConfirmID is an identity verification solution designed to help organizations confirm that a user is who they claim to be dur…

Leia mais
Biometric Boarding: Fast Identity Verification That Stops Fraud

Biometric Boarding: Fast Identity Verification That Stops Fraud

The future of travel is moving toward one simple idea: your identity is your boarding pass. Biometric boarding is transformin…

Leia mais
Top 5 Guest Verification Tools: Balancing Security and Experience in 2025

Top 5 Guest Verification Tools: Balancing Security and Experience in 2…

In the rapidly evolving landscape of the digital guest experience, ensuring the legitimacy of guests is no longer optional—it…

Leia mais
Explore mais