Segurança em desenvolvimento: formando pessoas

É com prazer que escrevo para o blog da equipe de Segurança da Microsoft. Conheço bem as pessoas que fazem parte desse grupo, que é sem dúvida um dos mais competentes que conheço, e não falo somente do mercado brasileiro. Vou usar esse primeiro espaço para discutir um tema que insistentemente trabalhamos – eu o faço desde que iniciei minha carreira na área de segurança, em 1998, mas que leva tempo para cristalizar: a formação e a disseminação de conhecimento de segurança nas diversas camadas de uma empresa.


O Santander no Brasil possui um Centro de Competência reconhecido pelo Grupo como referência para as ações de formação e conscientização de pessoas. Construímos ao longo dos últimos anos um “cardápio” de temas relacionados ao treinamento em segurança e que é globalmente adotado pelos países onde temos negócios. Esse menu atinge de forma direta nossos funcionários, parceiros e até mesmo clientes, esses com ações voltadas para os canais eletrônicos.


Nosso próximo passo nas ações de formação é a construção de cursos e treinamentos voltados para públicos específicos dentro da organização. Em 2006, depois de participar do CSO Summit em Redmond, me passou pela cabeça a idéia de criar um programa de treinamento para desenvolvedores de sistemas, que está em fase de implantação nesse momento.


Foi construído um modelo ligado a Recursos Humanos que automaticamente indica a novos funcionários, a partir de seu cargo, quais cursos deverão assistir além do tradicional programa de integração, logo nos primeiros dias de trabalho na companhia. Para analistas, um curso técnico busca transferir conhecimento sobre como escrever códigos seguros, além de dar informações sobre os problemas mais comuns encontrados em sistemas, como cross site scripting ou buffer overflows. Os gerentes, por sua vez, receberão treinamento voltado para os processos de segurança. Entenderão em quais momentos os aspectos deverão revisar a questão de segurança em seus projetos, bem como qual é a função dos testes que são executados durante as fases de pré-implantação.


Esse conhecimento permitirá que o tratamento do tema de segurança em sistemas seja feito de forma bem mais clara do que tradicionalmente vivemos no nosso mercado, além de ter um aspecto psicológico: uma pessoa que começa a trabalhar numa empresa e já mergulha em sua cultura desde os primeiros dias tenderá a absorver muito mais dessa visão de segurança do que aquela que o faça aos poucos. É essa a função dos programas de integração do RH, e, nossa opinião, não há lugar e momento melhor para encaixar esse processo.


O ciclo de desenvolvimento seguro, obviamente, ainda tem outras dimensões. A revisão da adoção de controles em diversas fases de um desenvolvimento, a de códigos já escritos e os ethical hacking, entre outros processos, devem fazer parte das peças que compõem esse tema. A novidade aqui é fazer com que as pessoas se familiarizem com o tema desde o seu primeiro dia na empresa. Os próximos meses nos darão uma idéia se nossa visão faz sentido.


 


Alvaro Teófilo é superintendente do Centro de Operações de Segurança da Produban, empresa de tecnologia do Grupo Santander.