INDEX

Segurança em Primeiro Lugar

By Marco Singer at

Eu passei a vida como software engineer. De 2022 para cá faço parte do time de segurança, responsável desde detectar ataques na plataforma (e a galera é bem esperta nisso), até ajudar outros times a pensar em potenciais falhas de segurança nas aplicações. Isso no sentido de definir melhor as APIs públicas ou não instalar uma dependência com vários CVEs abertos ou abandonada.

Como o meu background nunca envolveu cybersecurity ou hackear coisas, mesmo que de brincadeira, fiquei meio apreensivo no início. Basta ver que a gente não se prepara para um problema de segurança, mesmo na vida, quem dirá em software.

Aposto que você vai dizer sim para alguma dessas afirmações:

  • Uso a mesma senha para todos os sites. De email a rede social;

  • Que nada sou ligueiro! Uso uma senha para coisas importantes e outra para cadastro em qualquer site ou loja;

  • Uso data de aniversário, número de documento, número da minha casa como senha;

  • Tenho minhas senhas importantes anotadas em algum lugar;

  • Já tive meu celular invadido / hackeado;

  • Clico em links sem verificar a veracidade;

Se disse não para tudo, parabéns! Você é um tremendo de um(a) mentiroso(a).

Na verdade é bem possível que você seja bem cauteloso com seus dados, mas a maioria das pessoas não

Na era que vivemos, ter o email hackeado é mais grave do que perder sua carteira na rua. Pare e pense: se alguém conseguir entrar no seu email hoje, qual o nível de estrago pode ser feito? Que tipo de informação sobre você tem lá? Talvez:

  • Extrato dos seus investimentos;
  • Boletos com seus dados;
  • Descrição da sua rotina (academia, como quem você se comunica frequentemente, onde você trabalha, etc.);

Além de conseguir se passar por você.

99% das formas de comprovar se você é você mesmo está ligada a "te mandei X no seu email". No final, nossa vida digital é mais importante do que a offline. Você precisa do online para te validar offline.

E o mais louco disso tudo é o quanto a gente negligencia isso, mesmo para mim que sou da área de tecnologia e deveria ter uma visão mais atualizada e apurada sobre o tema. Mas não. Replicamos na vida online os mesmos padrões da vida off.

O famoso "só faz seguro depois que o carro é roubado".

Então o meu ponto, nesses quase dois anos á frente do time de security, é tentar trazer essa discussão para o dia zero. Pensar em segurança digital da mesma forma que pensamos em beber água, comer, fazer exercício ou escovar os dentes. Algo que tem que ser natural. Parte da nossa rotina.

O problema é que a "cultura digital" não é fácil de ser assimilada. Não consigo explicar 2FA para a minha mãe que tem mais de 70 anos. Isso é um problema geracional. Papo para outro post.

Fato é que precisamos incorporar cybersecurity no nosso dia-a-dia de desenvolvedor. O mundo muda muito rápido e as ameaças estão por toda parte.

Ter um time dedicado é importante, mas as vezes não é factível. E só um time pensando nisso também não é viável. É um problema de toda a empresa. É um problema de toda a indústria.

Existem formas de você mitigar as potenciais áreas de ataque tendo um gerenciador de senhas ou um MFA físico. Eu tenho isso (e mais coisas porque sou bitolado) e recomendo.

Mas temos muito ainda o que avançar. Descobri um abismo de conhecimento na área de cybersecurity. Tão igual ou maior do que o abismo que temos que atravessar para nos proteger. Seja na vida pessoal ou na de dev. Seja seu celular exposto ou uma API com brecha de segurança, safety first para mim vai ser tão importante quanto é o remote first nos dias de hoje.