O desenvolvimento 30% mais rápido de novas funcionalidades por um banco digital é o exemplo dado por Ticiana Amorim, CEO e fundadora da Aarin Tech-fin, para a ideia de que a segurança é uma responsabilidade coletiva e não apenas das equipes de TI. Ela destacou esse caso como um modelo de adoção do conceito de security by design, ou seja, quando a segurança deixa de ser um requisito técnico para se tornar uma cultura, compartilhada por todos os envolvidos no processo de criação de um novo produto.
No exemplo do banco digital, a prática anteriormente adotada deixava as atualizações de segurança para as etapas finais, gerando atritos entre os envolvidos. A solução foi incorporar os especialistas de segurança desde o começo, fazendo parte dos times de desenvolvimento e engenharia. O resultado foi o lançamento – em menos tempo – de soluções como pagamento com biometria, com o adicional de que a segurança não foi deixada nas mãos somente da TI.
Segurança desde a concepção
O ponto de vista de Ticiana foi resumido no artigo escrito por ela para o site TI Inside, no qual a executiva defende o compartilhamento da responsabilidade da segurança, lembrando que essa estratégia resulta em casos de sucesso, mas envolve desafios. De acordo com a especialista, um deles é evitar a burocratização do processo, que pode acontecer quando vários profissionais de áreas diferentes trabalham no mesmo projeto. E ainda mais quando os times de desenvolvimento investem na velocidade para criar inovações, enquanto a área de segurança atua com cautela para garantir que, por exemplo, um novo aplicativo de banco não seja apenas brilhante como funcionalidade, mas também não seja uma ameaça para os clientes da instituição financeira.
Inovação ágil e proteção efetiva
A receita da CEO para o sucesso do security by design exige equilíbrio e ela mesma argumenta que não há contradições entre as duas áreas-chave do processo. Pelo contrário. Para Ticiana, a internalização das práticas de segurança resulta em ciclos de desenvolvimento mais ágeis, como comprovou o banco digital.
E mais: a nova funcionalidade da instituição financeira de pagamento com biometria não pulou etapas importantes, inclusive porque teve a identificação de vulnerabilidades, corrigidas ainda na fase de protótipo. Para a executiva, as empresas que continuarem a pensar a segurança apenas como uma atribuição de TI tendem a falhar e não ser nem inovadoras e muito menos seguras.
