Site Meter Segurança em desenvolvimento: formando pessoas - Negócio de Risco - Site Home - TechNet Blogs

Negócio de Risco

Blog do Time de Segurança da Microsoft Brasil

Segurança em desenvolvimento: formando pessoas

Segurança em desenvolvimento: formando pessoas

  • Comments 1
  • Likes

É com prazer que escrevo para o blog da equipe de Segurança da Microsoft. Conheço bem as pessoas que fazem parte desse grupo, que é sem dúvida um dos mais competentes que conheço, e não falo somente do mercado brasileiro. Vou usar esse primeiro espaço para discutir um tema que insistentemente trabalhamos – eu o faço desde que iniciei minha carreira na área de segurança, em 1998, mas que leva tempo para cristalizar: a formação e a disseminação de conhecimento de segurança nas diversas camadas de uma empresa.

O Santander no Brasil possui um Centro de Competência reconhecido pelo Grupo como referência para as ações de formação e conscientização de pessoas. Construímos ao longo dos últimos anos um “cardápio” de temas relacionados ao treinamento em segurança e que é globalmente adotado pelos países onde temos negócios. Esse menu atinge de forma direta nossos funcionários, parceiros e até mesmo clientes, esses com ações voltadas para os canais eletrônicos.

Nosso próximo passo nas ações de formação é a construção de cursos e treinamentos voltados para públicos específicos dentro da organização. Em 2006, depois de participar do CSO Summit em Redmond, me passou pela cabeça a idéia de criar um programa de treinamento para desenvolvedores de sistemas, que está em fase de implantação nesse momento.

Foi construído um modelo ligado a Recursos Humanos que automaticamente indica a novos funcionários, a partir de seu cargo, quais cursos deverão assistir além do tradicional programa de integração, logo nos primeiros dias de trabalho na companhia. Para analistas, um curso técnico busca transferir conhecimento sobre como escrever códigos seguros, além de dar informações sobre os problemas mais comuns encontrados em sistemas, como cross site scripting ou buffer overflows. Os gerentes, por sua vez, receberão treinamento voltado para os processos de segurança. Entenderão em quais momentos os aspectos deverão revisar a questão de segurança em seus projetos, bem como qual é a função dos testes que são executados durante as fases de pré-implantação.

Esse conhecimento permitirá que o tratamento do tema de segurança em sistemas seja feito de forma bem mais clara do que tradicionalmente vivemos no nosso mercado, além de ter um aspecto psicológico: uma pessoa que começa a trabalhar numa empresa e já mergulha em sua cultura desde os primeiros dias tenderá a absorver muito mais dessa visão de segurança do que aquela que o faça aos poucos. É essa a função dos programas de integração do RH, e, nossa opinião, não há lugar e momento melhor para encaixar esse processo.

O ciclo de desenvolvimento seguro, obviamente, ainda tem outras dimensões. A revisão da adoção de controles em diversas fases de um desenvolvimento, a de códigos já escritos e os ethical hacking, entre outros processos, devem fazer parte das peças que compõem esse tema. A novidade aqui é fazer com que as pessoas se familiarizem com o tema desde o seu primeiro dia na empresa. Os próximos meses nos darão uma idéia se nossa visão faz sentido.

 

Alvaro Teófilo é superintendente do Centro de Operações de Segurança da Produban, empresa de tecnologia do Grupo Santander.

Comments
  • Acho que este tema é chave em termos de segurança, mas também em Tecnologia da Informação em geral.

    A formação de um bom proifssional é longa e como o Álvaro diz é fundamental trabalhar a parte da cultura da empresa para ajudar nessa batalha da indústria de tecnologia em geral.

    Temos trabalhado como empresa, Microsoft, junto à comunidade para divulgar e apoiarmos na capacitação das diversas audiências dentro de uma empresa, desde treinamentos para os usuários finais - usuários internos e clientes - técnicos de infra e desenvolvimento, níveis de média gerência e altos executivos.

    O Santander tem um compromisso forte com este tema e atuando há anos conosco.

    Sobre o tema de desenvolvimento de código seguro, eu acho que o Brasil poderia se posicionar mundialmente como um líder neste tema.

    Somos diferenciados em diversos assuntos à tecnologia e acho que poderíamos puxar essa liderança que até o momento não andamos da manera que vemos o potencial para no mundo de offshore nos diferenciarmos de países como Índia entre outros.

    O Brasil tem sido uma sociedade digitalmente mais avançada em diversos casos como: Imposto de Renda pela Internet, Urna Eletrônica, adoção de celular, a maior base instalada de usuários de Windows Live Messenger, Internet Banking liderando mundialmente; ou seja, poderíamos aproveitar essa liderança e desenvolvermos profissionais para desenvolvermos código de seguro e mostrando o diferencial competitivo que podemos criar para os negócios.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment