Antifragilidade como abordagem para o desenvolvimento de software seguro

A antifragilidade, termo conhecido como algo que se beneficia de sua própria desordem, é algo emergente no mundo da tecnologia. É sabido que a pandemia acelerou a grande transformação digital dos últimos anos, e que muitas pequenas, médias e grandes empresas viram suas características de desenvolvimento e estratégias do dia a dia alteradas devido a essa “corrida” pela evolução digital. Muito evoluiu em pouquíssimo tempo, em que sistemas, plataformas e serviços foram entregues em tempo recorde para garantir a permanência do cliente final.

Os microsserviços evoluíram absurdamente rápido, o processo ágil em esteiras, o DevOps ganhou ainda mais força e vários sistemas ficaram online em tempo recorde. Nesse contexto, vários paradigmas de mentalidade, tecnologia e cultura, entre outros, foram quebrados.

Mas, nessa evolução digital acelerada, surge a pergunta: onde entra a segurança nisso tudo? A cibersegurança ganhou força na antifragilidade, uma vez que a “desordem de ideias” apresentada por alguns grandes projetos de transformação digital, bem como as entregas aceleradas, fizeram com que fossem gerados inúmeros incidentes de segurança. As violações de dados começaram a aparecer nas grandes empresas, os sistemas antes considerados invioláveis ​​foram invadidos e os ataques de ransomware, uma ameaça global que continua atingindo níveis muito elevados.

Esse cenário de entregas urgentes por parte das empresas, e principalmente dos desenvolvedores, ajudou a pensar fora da caixa para entender que a cibersegurança deve partir do processo inicial de concepção de uma ideia e passar para a entrega ao usuário final ou cliente. Nesse sentido, a cibersegurança ganhou ainda mais força nos últimos anos e hoje é um vetor prioritário dentro de todas as organizações. Os crimes cibernéticos cresceram proporcionalmente a essa evolução digital de empresas que migraram seus serviços diretamente para a nuvem ou evoluíram seus sistemas e aplicativos. De acordo com o FortiGuard Labs, laboratório de inteligência e análise de ameaças da Fortinet, a América Latina sofreu 360 milhões de tentativas de ataque em 2022.

Para podermos fazer face a estas evoluções, há que reforçar e deixar explícito que a segurança online e de todas as ligações é a regra número um, a par da entrega e preocupação em ter uma boa experiência de utilização. Atualmente, o usuário se preocupa não apenas com a experiência, mas também com a segurança de seus dados. E para atender a essa nova visão, o mindset precisa mudar e fazer com que o desenvolvedor em seu código-fonte pense efetivamente sobre quais frameworks de segurança adotar, as regras a seguir e quais os principais cuidados a serem tomados ao desenvolver uma aplicação.

Em outras palavras, o primeiro desafio para as equipes de segurança está no próprio desenvolvedor da empresa. Ao disseminar constantemente essa ideia e novos insights, mais de 70% das previsões de ataques podem ser evitadas, já que os ataques ocorrem principalmente devido a configuração incorreta (configuração incorreta) e falta de experiência e treinamento, de acordo com o relatório global Fortinet's 2023 Cybersecurity Skills Report.

Diante dessa situação, a antifragilidade surge como uma abordagem valiosa para promover o desenvolvimento de software com a segurança necessária e essencial. Em vez de simplesmente tentar evitar falhas, as equipes de desenvolvimento podem se concentrar em tornar seus sistemas mais resilientes e adaptáveis ​​a mudanças, resultando em um software mais seguro e confiável.

Além disso, a antifragilidade enfatiza a importância da experimentação e aprendizado constantes, que podem ajudar a identificar e corrigir vulnerabilidades antes que se tornem um problema real. Portanto, ao incorporar princípios antifragilidade em suas práticas de desenvolvimento de software, as equipes poderão melhorar a segurança de seus sistemas e aumentar a eficiência e resiliência a mudanças e desafios imprevistos.

Sobre o autor: Vanderson Santos é Engenheiro de Desenvolvimento de Negócios na Fortinet Brasil. Ele é Cloud Security Specialist (MCT), Blue Team, Cybersecurity Architect, LGPD, DevSecOps Expert. Anteriormente, trabalhou em empresas como Midway, Banco Santander Brasil, TIM Brasil e Localfrio.