Vídeo: Informática para Concursos - Segurança da Informação - AlfaCon (Novembro 2024)
SAN FRANCISCO - Um painel de duas pessoas da RSA Conference abordou de frente uma pergunta provocativa: a segurança de software é uma perda de tempo para a maioria das empresas?
Ninguém sugeria que as empresas ignorassem os bugs de seus produtos, mas a questão era mais sobre como e quando as correções deveriam ocorrer.
Microsoft, Adobe e algumas outras empresas defendem um ciclo de vida seguro de desenvolvimento de software, no qual os problemas de segurança são abordados durante todas as fases do desenvolvimento. Ainda existem muitas empresas que acreditam que o tempo e o dinheiro gastos nessas iniciativas de segurança de software podem ser usados em outros lugares, e é mais do seu interesse corrigir os bugs após o envio dos produtos.
Por um lado, existem empresas como a Adobe, que precisam lidar com invasores comprometidos com a intenção de explorar vulnerabilidades no software. "Uma exploração que funciona contra o Reader ou o Flash coloca mais de um bilhão de computadores em risco", disse Brad Arkin, da Adobe, no painel. "O custo de obter essas correções é tão alto que precisamos investir tudo o que pudermos para solucionar esses problemas antes de enviarmos", disse ele.
Por outro lado, existem empresas que nunca verão retorno sobre o investimento na implementação de iniciativas seguras de desenvolvimento de software, de acordo com o painelista John Viega, vice-presidente executivo da SilverSky, anteriormente Perimeter E-Security. "Para a maioria das empresas, será muito mais barato e atenderá muito melhor seus clientes se eles não fizerem nada até que algo aconteça. É melhor esperar o mercado pressioná-lo a fazê-lo", disse Viega.
Muito caro
Viega não estava apenas sendo contrário e discordando do Arkin da Adobe. Ele trabalhou anteriormente em segurança de produtos na McAfee e "até onde pudemos medir, foi um desperdício absoluto de dinheiro", disse ele.
Por exemplo, um ano, a McAfee teve três falhas de segurança divulgadas publicamente, que custam menos de US $ 50.000 no total para lidar, disse Viega. A figura incluía todas as comunicações e o tempo necessário para desenvolver e testar a correção. Por outro lado, um programa abrangente de segurança de software custa à empresa um milhão de dólares em custos diretos e ainda mais em custos indiretos, como perda de produtividade, disse ele. Até onde ele sabia, a empresa "tornou o trabalho do bandido um pouco mais caro", mas não o suficiente para justificar os custos.
"Há toda uma classe de empresas em que não faz sentido fazer nada", disse Viega.
Embora a segurança seja importante, não deve ser a força motriz, sugeriu Viega. Ele comparou a situação à indústria automobilística. Se a segurança fosse "a mais suprema", então "teríamos carros que não ultrapassariam 8 quilômetros por hora", disse ele. Examinar os custos econômicos ajuda a descobrir onde devem ser as compensações.
Para a Adobe, a espera é muito cara, portanto, eles garantem que a segurança do software seja uma parte importante do processo de desenvolvimento do produto, desde o conceito, design, codificação, teste e implantação. A empresa realiza amplo treinamento de segurança para todos os seus engenheiros, independentemente do nível de habilidade e experiência, para garantir que todos estejam olhando para a segurança de maneira unificada.
Corrigindo cada pequeno bug
Arkin teve o cuidado de apontar que, embora a empresa gastasse uma quantidade significativa de tempo e recursos localizando e corrigindo vulnerabilidades durante o processo de desenvolvimento, o objetivo não era eliminar todos os erros possíveis. Foi um melhor uso da energia e dinheiro da equipe para lidar com categorias de bugs, disse ele.
"Se você está consertando cada pequeno bug, está perdendo o tempo que poderia ter usado para mitigar classes inteiras de bugs", disse ele.
Os clientes geralmente não têm como saber qual empresa é uma empresa de remessa ou conserto, disse Viega. Os compradores não são espertos o suficiente e nem sempre pensam na segurança do aplicativo ao avaliar suas compras, disse ele. "Ei, as pessoas ainda usam a Adobe", disse Viega.
Poderia haver algum tipo de padrão para determinar se um determinado software é um produto "corrigi-lo" ou não? Viega não descartou a possibilidade, observando que mesmo uma garrafa de água tem um rótulo com informações nutricionais impressas.