O movimento é mundial: focar apenas nos aspectos relacionados diretamente com o seu negócio. Essa diretriz promoveu um verdadeiro boom na terceirização de serviços, que se tornou uma grande aliada dos gestores. Em se tratando de terceirização de TI, a maior contribuição é, sem dúvida, a Fábrica de Software. Com ela, tornou-se possível produzir sistemas fundamentais para que as engrenagens das empresas não deixem de girar.
Porém, nem tudo são flores. Ao mesmo tempo em que auxilia, a terceirização também gera uma grande preocupação: a segurança. A questão é simples. Constantemente, as empresas investem significativas quantias para garantir a segurança de seus processos internos, seja com metodologias ou com software e hardware. A cultura de zelar pelas informações acaba se tornando intrínseca aos colaboradores da própria empresa. Eis que surge o problema: como transferir esta cultura para os processos e as pessoas que estão envolvidas em uma fábrica de software terceirizada? Afinal, segundo estudo do Gartner, 75% dos ataques acontecem nas aplicações.
Para tornar a questão mais clara, vou usar uma analogia. Quando um ourives produz uma jóia, ele tem plena consciência da matéria-prima e das técnicas necessárias para garantir a qualidade da mesma. Se a demanda aumenta, ele pode optar por terceirizar a produção. Mas sem um controle próximo, dificilmente ele vai ter a segurança de que o processo ocorreu segundo as suas especificações. A quantidade de ouro utilizada, a forma de lapidar a jóia... O resultado pode ser o descontentamento ou mesmo a perda do cliente.
Em uma empresa que utiliza fábricas de software, o resultado pode ser ainda pior: a perda da credibilidade, de informações importantes ou a adoção de uma aplicação estratégica que está sujeita a falhas ou ataques. Evitar estas conseqüências, que podem ser catastróficas para uma corporação, é a função da Fábrica de Segurança de Software.
Quando se opta pela terceirização, a prática comum já estabelece uma série de metodologias que primam pelo atendimento da regra de negócio. Mas em nenhuma delas a segurança é colocada em análise. Fica muito difícil repetir o controle efetivo de segurança que seria verificado caso o aplicativo fosse desenvolvido internamente.
A principal função da Fábrica de Segurança de Software é estabelecer componentes que garantam que os desenvolvedores trabalhem de forma padronizada e segundo as normas de segurança da empresa. Mas o que ela oferece? De maneira simplificada, pode-se afirmar que uma Fábrica de Segurança de Software atua em todo o ciclo de desenvolvimento. Na concepção, consultores especializados indicam as melhores práticas e controles de segurança que devem ser adotados.
Na construção, ela fornece componentes de segurança, como autenticação, criptografia, rastreamento, controle de acesso, entre outros. Na fase de testes ou controle de qualidade, a fábrica promove uma análise de vulnerabilidade e propicia os subsídios necessários para a correção de falhas. No final vem a auditoria, que busca se certificar de que os controles de segurança foram efetivamente adotados. Vale ainda destacar: quanto mais cedo a segurança é incluída no processo, menor é o custo de desenvolvimento.
Muitos podem questionar: “não seria uma contradição buscar um fornecedor terceirizado para garantir a segurança de um projeto que já foi terceirizado”? Pois a questão é exatamente contrária. Apenas uma empresa focada em segurança pode garantir a integridade de um projeto executado por uma organização cujo foco é o desenvolvimento. Por isso, a frase que inicia este artigo pode também fechá-lo com perfeição: focar apenas nos aspectos relacionados diretamente com o seu negócio. Só assim é possível alcançar a qualidade.
Rafael Lucyk é gerente da Fábrica de Segurança de Software da True Access Consulting
Porém, nem tudo são flores. Ao mesmo tempo em que auxilia, a terceirização também gera uma grande preocupação: a segurança. A questão é simples. Constantemente, as empresas investem significativas quantias para garantir a segurança de seus processos internos, seja com metodologias ou com software e hardware. A cultura de zelar pelas informações acaba se tornando intrínseca aos colaboradores da própria empresa. Eis que surge o problema: como transferir esta cultura para os processos e as pessoas que estão envolvidas em uma fábrica de software terceirizada? Afinal, segundo estudo do Gartner, 75% dos ataques acontecem nas aplicações.
Para tornar a questão mais clara, vou usar uma analogia. Quando um ourives produz uma jóia, ele tem plena consciência da matéria-prima e das técnicas necessárias para garantir a qualidade da mesma. Se a demanda aumenta, ele pode optar por terceirizar a produção. Mas sem um controle próximo, dificilmente ele vai ter a segurança de que o processo ocorreu segundo as suas especificações. A quantidade de ouro utilizada, a forma de lapidar a jóia... O resultado pode ser o descontentamento ou mesmo a perda do cliente.
Em uma empresa que utiliza fábricas de software, o resultado pode ser ainda pior: a perda da credibilidade, de informações importantes ou a adoção de uma aplicação estratégica que está sujeita a falhas ou ataques. Evitar estas conseqüências, que podem ser catastróficas para uma corporação, é a função da Fábrica de Segurança de Software.
Quando se opta pela terceirização, a prática comum já estabelece uma série de metodologias que primam pelo atendimento da regra de negócio. Mas em nenhuma delas a segurança é colocada em análise. Fica muito difícil repetir o controle efetivo de segurança que seria verificado caso o aplicativo fosse desenvolvido internamente.
A principal função da Fábrica de Segurança de Software é estabelecer componentes que garantam que os desenvolvedores trabalhem de forma padronizada e segundo as normas de segurança da empresa. Mas o que ela oferece? De maneira simplificada, pode-se afirmar que uma Fábrica de Segurança de Software atua em todo o ciclo de desenvolvimento. Na concepção, consultores especializados indicam as melhores práticas e controles de segurança que devem ser adotados.
Na construção, ela fornece componentes de segurança, como autenticação, criptografia, rastreamento, controle de acesso, entre outros. Na fase de testes ou controle de qualidade, a fábrica promove uma análise de vulnerabilidade e propicia os subsídios necessários para a correção de falhas. No final vem a auditoria, que busca se certificar de que os controles de segurança foram efetivamente adotados. Vale ainda destacar: quanto mais cedo a segurança é incluída no processo, menor é o custo de desenvolvimento.
Muitos podem questionar: “não seria uma contradição buscar um fornecedor terceirizado para garantir a segurança de um projeto que já foi terceirizado”? Pois a questão é exatamente contrária. Apenas uma empresa focada em segurança pode garantir a integridade de um projeto executado por uma organização cujo foco é o desenvolvimento. Por isso, a frase que inicia este artigo pode também fechá-lo com perfeição: focar apenas nos aspectos relacionados diretamente com o seu negócio. Só assim é possível alcançar a qualidade.
Rafael Lucyk é gerente da Fábrica de Segurança de Software da True Access Consulting