A humanidade está vivenciando um momento único e inédito nas comunicações através do avanço da Internet com a massificação do uso de aplicações web, Redes sociais, comunicadores, etc.


Como o aumento do consumo por produtos e serviços relacionados à Internet, empresas e pessoas tem buscado e encontrado diversas possibilidades de negócio através do desenvolvimento de softwares voltados para a web. As Instituições de ensino tem se empenhado em formar desenvolvedores a todo custo e mesmo assim, são milhares as vagas em aberto para contratação de desenvolvedores que não são preenchidas por falta desses profissionais.


Porém, os cursos e treinamentos são sempre voltada para programar atendendo os requisitos do negócio. Para isso estudam quase sempre diversas linguagens de programação e sempre acabam optando por seguir naquela que mais se identifica ou ainda, à que oferecer melhores oportunidades profissionais.


Porém, venho atuando como profissional ligado a área de Segurança da Informação e o que tenho visto é alarmamente na minha área.


Há três aspectos que gostaria de pedir ao leitor para responder rapidamente, sendo:
1) Qual a instituição de ensino que possuí dentro da grade, assuntos relacionados ao desenvolvimento de código seguro com boas práticas e testes de segurança?


2) Qual software house insveste na formação de desenvolvedores em código seguro através de treinamentos relacionados ao assunto e realiza testes de segurança em suas aplicações?


3) Qual organização ao contratar software, está preocupada com a segurança do mesmo e exige que o fornecedor siga as boas práticas de segurança, passando contratualmente para este, a responsabilidade sobre incidentes de segurança do seu produto?


Garanto que para a maioria dos leitores, todas as respostas é negativa. Dessa forma, estamos diantes de três problemas:

1) As instituições de ensino estão formando inadequadamente seus alunos;


2) As software houses podem não estar suficientemente preocupadas em entregar aplicações inseguras para seus clientes;

3) Os clientes não sabem contratar ou não estão preocupados com os riscos de adquirirem softwares inseguros.

 
Dessa maneira, vemos que o problema começa na formação dos desenvolvedores de software começa e termina nos clientes. Para isso, é preciso que haja uma mudança na base e isso só vai ocorrer se houver mudança na parte final do ciclo. Tudo acontece em função do mercado, ou seja, as mudança e evoluções acontecerão de acordo com as exigências dos clientes. Há algum tempo, muitas SoftwareHouses tiveram que investir pesado em formação profissional, pois sairam da plataforma cliente servidor e foram para a Web. Agora, o mercado precisa passar a exigir Segurança nas Aplicações e com isso, as software houses serão forçadas a buscar profissionais que conheçam de código seguro. Finalmente, as instituições de ensino precisarão melhorar seus programas de formação para atender às exigências, ou seus egressos poderão ficar sem oportunidade.


Vivemos então uma fase de grande mudança e evolução, porém, é preciso muita responsbilidade de quem participa das três fases do ciclo, pois cada um tem sua importância. Só assim, poderemos atingir um nível de maturidade em desenvolvimento de código inseguro e diminuirmos a quantidade de incidentes de segurança, tais quais invasões as recentes invasões aos governos e empresas que temos acompanhados. Provoco então que todos envolvidos com o assunto, busquem evoluir no aspecto da segurança da informação.


Por Rodrigo Jorge - 30/07/2011
Publicado pela Informática em Revista, Edição de Agosto/2011