Mito 1: O Desenvolvedor é seguro

O Desenvolvedor sempre me proverá sistemas seguros!

Na grande maioria das vezes as empresas contratantes consideram que a segurança deveria ser uma preocupação do desenvolvedor, mas são vários os fatores que afetam a qualidade da entrega das equipes de desenvolvimento de aplicações web.

Não bastasse a diversidade de tecnologias que atualmente são integradas para compor as funcionalidades da aplicação para atender ao processo de negócio, há ainda a complexidade inerente a todo o processo de contratação e entrega de um desenvolvimento:

• Área solicitante prioriza requisitos funcionais em detrimento da segurança;
Especificações incompletas ou inconsistentes dos requisitos funcionais;
Faltam critérios de segurança na especificação daqueles requisitos;
Faltam competências em segurança de software na equipe de desenvolvimento;
Uma combinação desfavorável dos fatores prazo de entrega e custo do contrato;
Fator competitivo que leva a se fazer cada vez mais com cada vez menos.

Se a empresa contratante não definir claramente seus critérios de segurança, naturalmente o que ocorre é a priorização da entrega dos requisitos funcionais naquele curto prazo do contrato, e o projeto acaba orientado pela administração de custos e de prazos de entrega.

Neste cenário a empresa contratante não deve esperar que o desenvolvedor tenha tempo e recursos suficientes para se preocupar mais com a segurança da aplicação do que com a entrega do contrato.

O resultado é que na entrega pode haver vulnerabilidades exploráveis que comprometerão a confidencialidade, a integridade, ou acessibilidade dos dados que trafegam pela aplicação.

Se aquelas vulnerabilidades não forem identificadas e reparadas em tempo hábil, introduzirão um fator de risco à operação quando a aplicação web entrar em produção.

Assumido este risco, um evento de ataque em algum momento poderá afetar o resultado financeiro da operação, e, dependendo do impacto que um ataque causar, todo o resultado do negócio pode ser comprometido.

Veja nosso artigo sobre o risco de ataques a partir da web, e, para evitar o desperdício de recursos em projetos de desenvolvimento inseguros, conheça também algumas de nossas recomendações para obter aplicações web mais seguras, e como mantê-las assim.