O alerta número 2, de 26 de janeiro de 2022, publicado pelo CTIR.Gov (Centro de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos do Governo), chama a atenção para o desenvolvimento seguro de software, especialmente, quanto a origem de vulnerabilidades em linguagens de programação, apontando, como medida de solução, o “security by design”.
É bem sabido que diversos são os fatores que podem implicar negativamente sobre as funcionalidades esperadas de um software, não somente, quanto as vastas opções de linguagem de programação, mas, especialmente, com relação a adoção de medidas relevantes para garantir a confidencialidade, a integridade e a disponibilidade das informações, como a tríade basilar da segurança da informação, pois, normalmente a escolha de um determinado programa, por parte do usuário, como solução de gestão e controle, por exemplo, não está associada ao “idioma” utilizado para construí-lo, mas, na sua usabilidade e no trabalho ostensivo do suporte/desenvolvimento em prover as respostas para as ocorrências diárias, blindando a informação como ativo relevante para uma era que a cada dia converge mais para a intangibilidade do armazenamento dos dados.
Assim, é preponderante que as equipes de desenvolvimento se atentem as premissas (controles e objetivos) elencados na ISO 27001/27002, especialmente, aos pontos que abordam a criptografia dos dados, o sistema de gestão de backup, o controle de acesso, a classificação da informação, a análise de vulnerabilidades (testes de intrusão ou pentest) e o nível do suporte, como discorrido no modelo ITIL.
Mas, também, é importante olhar para a matéria sob a ótica do usuário, que deve se atentar as recomendações do desenvolvedor, com garantia de se alcançar o resultado esperado na aquisição do produto. São eles: equipamentos atualizados, com sistemas operacionais e demais softwares originais; rede estável, com cabeamento qualificado e a rede sem fio com senha segura, considerando a segregação entre setores, se for o caso, mas, especialmente, entre a rede administrativa e a concedida a usuários estranhos as operações internas; manutenções regulares; acesso seguro (áreas físicas e lógicas) e o treinamento dos usuários.
Por fim, importante observar que o chamado security by design deve caminhar com privacy by default e o privacy by design, apresentados pelas legislações que visam adequar o tratamento de dados de pessoas naturais – no Brasil: Lei Geral de Proteção de Dados – dentro de condições seguras, éticas e lícitas, onde o modelo de segurança dos dados pessoais deve estar presente (default/padrão) desde a concepção (design/pensado) do produto/software.