Privacy by Design como segurança no desenvolvimento de software

Com um núcleo voltado para reforçar a cultura de Segurança da Informação, o Grupo DB1 adota estratégias como Privacy by Design para assegurar proteção de dados desde a concepção de novos projetos.

O Grupo DB1, formado por empresas de tecnologia brasileiras, e com bases operacionais na Argentina e nos Estados Unidos , já implementa uma cultura de segurança da informação que precede a vigência da Lei Geral de Proteção de Dados, em voga desde 2020. Como uma forma de disseminar ainda mais essa cultura para todas as empresas do grupo, a DB1 vem estabelecendo novas práticas e estratégias como prioridade. Uma delas é o Privacy by Design, um diferencial ainda pouco adotado por empresas de tecnologia.

O Consignet, uma das empresas do grupo, já é certificado pela ISO 27001 de segurança da informação desde 2018. A meta para 2022 é que todo o grupo possua essa certificação. Esse ponto está como prioridade no planejamento estratégico do grupo, visando também a conformidade com a LGPD e o desenvolvimento seguro.

André Luiz Alves, Coordenador de Segurança da Informação e Encarregado de Proteção de Dados, afirma o quanto a cultura já existia e precisa apenas ser intensificada.

“Já existia uma equipe extremamente competente, tanto é que já temos uma certificação ISO 27001. Eu cheguei com um perfil de consultor. Muito do que já foi feito está em excelente estado, estamos apenas aperfeiçoando agora que falamos de segurança para todo o grupo. O desafio é trazer essa cultura de desenvolvimento seguro. Já temos ferramentas que analisam como o código é feito, mas é essencial que a cultura seja proativa para antecipar os fatos”, explica o expert.

Para isso, o Grupo DB1 está passando por um processo intenso de revisão de todos os controles, além de investir em capacitação e em conscientização. Os treinamentos buscam alinhar todos os colaboradores em uma mesma cultura de segurança, incluindo os desenvolvedores de software.

Capacitação para segurança da informação

O Grupo DB1 lançou recentemente uma plataforma de capacitação para desenvolvedores, a Level Up Devs. A plataforma busca padronizar os conhecimentos básicos de acordo com cada nível de senioridade, trazendo todos os aspectos técnicos essenciais e entregando autonomia para o desenvolvedor estudar conforme seus objetivos.

Hoje, o Level Up Devs conta com conteúdos sobre segurança da informação. É uma forma de levar o conceito e a cultura de segurança para todas as camadas do desenvolvimento de software.

“A maioria dos desenvolvedores precisa dessa capacitação. Já temos hoje no mercado vários frameworks (boas práticas) que auxiliam nisso, mas a área de segurança ainda é muito voltada para a área de infraestrutura. Hoje, ainda é muito difícil encontrar profissionais que tragam o conceito de segurança para a área de desenvolvimento. Ainda é necessário um aperfeiçoamento muito forte. Estamos encontrando essas lacunas e preenchendo com o conhecimento na área de segurança”, afirma André Luiz.

O que é código seguro e como o Privacy by Design pode ajudar

Um código seguro, segundo o consultor, é um código que sabemos para onde os dados estão sendo compartilhados. Além disso, é preciso saber que existe pouca vulnerabilidade da linha de código, sem exposição daquele dado que está contido.

Já existem ferramentas internas, como a SONAR, que analisa o ambiente e verifica se o código já foi exposto, se é malicioso, que pode vazar algum tipo de dado sensível. Assim, os riscos são diminuídos e existe garantia de que ele é seguro para os clientes.

O Privacy by Design entrega uma cultura de desenvolvimento seguro desde a concepção do serviço. Com esse conceito, entendemos como criar um software com total privacidade e segurança. Esse é um diferencial forte no mercado, e o Grupo DB1 já está consolidando a prática em todos os processos.

Uma cultura interdisciplinar de segurança

O grupo possui um núcleo focado em tratar três pilares: a TI, a parte jurídica de legal services e as auditorias de todos os controles e evidências. O Comitê de Segurança da Informação (CSI) é composto por 16 pessoas, divididas entre área de segurança, área jurídica, área de processos, gestores e liderados, com o objetivo de ser um comitê multidisciplinar.

“Precisamos pensar fora da caixa. Por vezes, a solução é muito simples, está na nossa frente, e não conseguimos ver, mas o profissional que está na operação consegue. Ter pessoas com vários olhares nos traz uma segurança mais efetiva”, reforça André Luiz.

Segurança para além do digital

Existe um monitoramento dos dados trafegados dentro da organização. Até mesmo fones bluetooth em uso dentro do Grupo DB1 passam por esse controle. Esses mecanismos de segurança ajudam a equipe a avaliar cada transação de informações.

Os dispositivos IoT, como tudo que é novo, trazem um novo desafio. A segurança vem para trabalhar junto ao negócio da empresa, com um bom planejamento, que entende os possíveis impactos de cada dispositivo. Hoje, todos os colaboradores recebem um kit de equipamentos próprios da organização. As entradas USB são liberadas apenas para os equipamentos oficiais, reforçando o controle e bloqueando transferências maliciosas de dados.

A DB1 também trabalha os dados físicos, como o de informações impressas, e os dados falados. A cultura de segurança vem para educar a todos sobre os cuidados ao tratar de informações confidenciais, inclusive em conversas de corredor. “Independentemente do meio, digital ou não, precisamos ter os mesmos cuidados”, comenta o consultor de segurança.

Assim, mesmo que não exista uma obrigatoriedade por lei, o Grupo DB1 segue trabalhando para atrelar cada vez mais a segurança ao negócio. O objetivo é garantir que tudo o que se relaciona com o ecossistema DB1 esteja alinhado com todas as boas práticas de segurança da informação.