Jump to content
    • Julliana Bauer
      Ao longo dos últimos meses, nós temos compartilhado uma série de artigos sobre o universo da Segurança de Aplicações. A boa notícia para quem se interessou pelo assunto e quer se aprofundar ainda mais no tema é que a Conviso disponibilizou de forma integral e gratuita em seu canal de YouTube o treinamento AppSec Starter - um curso inicial de conscientização em AppSec. 
      Para quem tem interesse em se aprofundar mais sobre Desenvolvimento Seguro e gosta de aprender por meio de cursos, é uma ótima oportunidade de ingressar no universo da AppSec por meio de um curso criado por profissionais que vivem o tema no dia a dia. Além disso, por já estar 100% disponível na íntegra, é possível encaixar as aulas nos horários que melhor se adaptarem na rotina de cada aluno.
      O treinamento é composto por um total de 15 vídeo-aulas, onde conceitos introdutórios são abordados - em linguagem acessível - pelos especialistas da empresa. Ao longo dos vídeos, temas como Modelagem de Ameaças, Owasp Top 10 e Testes de Segurança de Aplicações são abordados. Para conferir o programa detalhado das 15 aulas, clique aqui.
      O curso foi criado originalmente para facilitar a entrada de novos colaboradores da Conviso em uma cultura de AppSec. Agora, ele está aberto e acessível na íntegra para que qualquer estudante ou profissional com interesse em aprender mais sobre o tema possa ingressar nos conceitos iniciais de AppSec. 🤗
      Público-alvo do treinamento
      Qualquer estudante ou profissional de áreas relacionadas a tecnologia que tenham interesse no tema podem se beneficiar com o treinamento. No entanto, é altamente indicado para profissionais envolvidos com desenvolvimento de software, que certamente poderão tirar máximo proveito das informações contidas no curso.
      Se você consumir o treinamento, não se esqueça de deixar seu feedback nos próprios comentários do canal do YouTube da Conviso, para que mais treinamentos possam ser disponibilizados no futuro. E caso você conheça alguém que se interesse pelo treinamento, não deixe de compartilhar esse conteúdo! 😉


    • Hoje o Federal Bureau of Investigation (FBI) e a Cybersecurity & Infrastructure Security Agency (CISA) publicaram um alerta para que empresas se certifiquem de estarem com as proteções em dia contra possíveis ataques de ransomware no fim de semana e feriados prolongados no mundo todo, quando os escritórios das empresas estão fechados geralmente.
      O alerta diz que os órgãos não têm informações específicas sobre ataques já planejados, mas ressalta que em 2021 vários ataques rolaram justamente em períodos como esse.
      Os órgão relembram o seguinte:
      Em maio de 2021, perto do feriado de Dia das Mães, criminosos da gangue que usa o ransomware DarkSide atacaram a Colonial Pipeline, ligada à infraestrutura crítica de energia dos Estados Unidos, resultando em quase uma semana de paralização. Ainda em Maio de 2021, no fim de semana do Memorial Day, uma empresa ligada ao setor agrícola foi atacada por uma gangue usando REvil. Em Julho de 2021 no feriado de 4 de Julho americano, foi a vez do REvil atacar novamente a infra de TI dos EUA. As ameaças mais ativas nos últimos dias incluem:
      Conti PYSA LockBit RansomEXX/Defray777 (este foi usado contra STJ, Embraer, Renner) Zeppelin Crysis/Dharma/Phobos Temos ainda o Nefilim, usado contra a Cosan/Raízen aqui no Brasil.
      Na nota, FBI-CISA recomendam:
      Backup offline. Não clicar em links suspeitos. Se usar, RDP, monitore e assegure-o! Atualizar SOs e aplicações, e buscar vulnerabilidades neles. Usar senhas fortes. Usar autenticação de múltiplo fator. Assegurar as contas de usuários. Ter um plano de resposta à incidentes. No primeiro vídeo da série "Na Lata", eu falo um pouco do tema, respondendo uma das perguntas dos nossos apoiadores:
      No nosso Instagram, também fiz stories fixos sobre o caso da Renner. Se cuide! 💚
       

    • Para que a proteção de sistemas de uma empresa funcione, é preciso fazer a avaliação sobre sua segurança, e para que isso seja bem feito, depende da atuação de dois profissionais: os que trabalham fazendo ataques simulados para medir a força dos recursos de segurança existentes em uma organização, e os que identificam como proteger as áreas que precisam de melhoria e estão mais expostas a esses riscos. São eles que compõem as equipes conhecidas como Red Team e Blue Team, respectivamente.
      Normalmente, o que vemos é que Red Team, a área de pesquisa ofensiva, é muito sedutora, sempre mostrada nos filmes ou na mídia, com hackers invadindo sistemas e conseguindo encontrar e explorar vulnerabilidades. O que sabemos é que esse trabalho é muito importante, sim, para ajudar as empresas a saberem onde estão suas possíveis falhas e, assim, protegê-las. É aí que a equipe de defesa, ou o Blue Team, entra. Mas nem sempre ouvimos falar tanto sobre a atuação desses profissionais. "Fazer um vírus que um antivírus não pega é muito fácil. Eu quero ver fazer um antivírus que pegue todos os vírus. Esse é o desafio real", diz Fernando Mercês, pesquisador na Trend Micro e fundador do Mente Binária.
      A segurança ofensiva fica ainda mais "glamourizada" com a quantidade de programas de bug bounty, ou caçadores de recompensa, que hoje existem oferecidos por empresas que querem estimular pesquisadores a encontrar possíveis vulnerabilidades em seus sistemas em troca de uma boa quantia em dinheiro. Mas nem sempre quem vai participar possui tantas habilidades técnicas a ponto de encontrar falhas que realmente impactem o negócio de uma empresa.
      "A importância desse trabalho [de pesquisa ofensiva] para as empresas depende muito do que o pesquisador quer fazer com o achado (vulnerabilidade)", diz Joaquim Espinhara, líder do time de Red Team & Adversarial Simulation na Tesserent. Para ele, a importância deste profissional para a segurança das empresas está sujeita à motivação do próprio pesquisador.
      Espinhara destaca que alguns profissionais que procuram por vulnerabilidades em softwares, depois de provar que é possível explorá-lo, acabam vendendo-a para alguma empresa ou governo que vai usar para fins de espionagem, ao mesmo tempo que pesquisadores normalmente encontram uma falha em um site/aplicação de uma empresa e decidem reportá-la, seja por recompensa ou não. Tem ainda o perfil do pesquisador que coleciona falhas, mostrando-as aos amigos para ganhar os chamados "street credits" – ou seja, pontos por ter feito algo considerado legal ou impressionante.
      Habilidades da pesquisa ofensiva – O conhecimento técnico que o pesquisador deve ter para buscar vulnerabilidades também depende do tipo de falha que ele está procurando, e onde está procurando, diz Espinhara. "Existem muitas classes diferentes de vulnerabilidades. Normalmente o que eu vejo no Brasil e na bolha do bug bounty são falhas relacionadas a aplicações web (SQL Injection, Cross-Site Scripting, File Include, etc)", destaca. 
      Ele ressalta que existem outras vertentes de pesquisa de falhas em sistemas operacionais e software nativos, ou mais recentemente pessoas que estão focadas em blockchain e smart contract security. Na sua visão, os programas de bug bounty são válidos para que pesquisadores tenham opções de rentabilizar o esforço em achar determinada vulnerabilidade. "Empresas deveriam (e até acontece) recompensar de acordo com o impacto da vulnerabilidade ao negócio", avalia Espinhara.
      Mas ele pontua que este mercado, no Brasil, ainda não é tão atrativo, em especial por conta da desvalorização do real perante o dólar. "Normalmente as empresas pagam o bounty em dólar americano. Algumas já se adaptaram a isso no Brasil, mas ainda não é a maioria. Normalmente, quanto maior a recompensa em um programa de bug bounty maior será a quantidade de pesquisadores mais habilidosos/experientes reportando", diz.
      Espinhara começou a atuar na área ofensiva há bastante tempo e já tem mais de 10 anos de experiência. "Assim como muita gente na área, eu fiz o caminho padrão: entrei na universidade (que não concluí), comecei a fazer alguns estágios e em um deles fiquei alocado na área de segurança de redes. Foi um caminho sem volta", conta. 
      Atacar só se for para defender – Espinhara pontua que existe uma má interpretação sobre o que é, de fato, o Red Team. "Conversando com alguns amigos que atuam nesta área de verdade no Brasil, eles me falam que o maior desafio é explicar que Red Team não é apenas um pentest com mais dias de execução", diz.
      Para explicar a melhor definição para Red Team, Espinhara utiliza uma citação de Joe Vest and James Tubberville no livro Red Team Development and Operations: A practical guide: "Red Teaming é o processo de usar táticas, técnicas e procedimentos (TTPs) para emular uma ameaça do mundo real, com o objetivo de medir a eficácia das pessoas, processos e tecnologias usadas para defender um ambiente". 

      "O nosso trabalho é preparar o Blue Team para responder a ameaças reais. Ou seja, sem Blue Team não existe Red Team" – Joaquim Espinhara 
       
      Assim, ele avalia que um dos objetivos do Red Team é mostrar para o Blue Team a perspectiva de um atacante. "O Blue Team faz uma 'leitura' dessa simulação e se prepara para responder a ameaças iguais ou semelhantes em termos de TTPs", diz. "Red Team e Blue Team têm que trabalhar juntos. Por exemplo, aqui na empresa nós só realizamos exercícios de Red Team se o cliente tiver um Blue Team. O nosso trabalho é preparar o Blue Team para responder a ameaças reais. Ou seja, sem Blue Team não existe Red Team". 
      Essa também é a visão de Thiago Marques, Security Researcher na Microsoft. Segundo ele, as duas áreas trabalham juntas, apesar de alguns grupos manterem uma certa rixa. "O Red Tem dá muita informação de como proteger. Eu vejo como duas áreas que realmente se completam", avalia. 
      Ele pontua, contudo, que é comum ver pessoas mais interessadas pela área ofensiva, por ter uma idealização sobre conseguir invadir um sistema e quebrar proteções. "Já na parte defensiva, poucas pessoas veem o trabalho do pesquisador, e quando veem é porque você não conseguiu proteger", destaca Thiago. Na sua visão, o lado negativo é que existem muitas pessoas que se intitulam profissionais ofensivos, mas somente executam scripts.
      Oportunidades na área defensiva – Thiago Marques diz que as oportunidades para quem quer atuar com pesquisa defensiva no Brasil são grandes. Isso porque muitas vezes empresas estrangeiras veem a necessidade de ter pessoas que entendam sobre o ecossistema brasileiro para monitorar e se defender de certos ataques. "Por anos o Brasil tem estado no topo de ameaças, principalmente financeiras, com malwares feitos aqui. E a dificuldade de empresas de fora é que tudo é feito em português. Isso gera uma barreira, porque um estranegito olha uma ameaça específica do Brasil e não consegue entender exatamente o que está acontecendo", conta. 

      "Há profissionais bem habilitados no mercado para realizar pesquisas defensivas, mas nem sempre eles são vistos" – Thiago Marques
       
      Um exemplo é uma ameaça comum no Brasil que envolve boletos. "Um estrangeiro não sabe o que é um boleto. Essa necessidade tem feito com que muitas empresas queiram aumentar a visibilidade dentro da América Latina, buscando profissionais aqui para monitorar e entender esses ataques". Thiago destaca ainda que há profissionais bem habilitados no mercado para realizar pesquisas defensivas, mas nem sempre eles são vistos. "Tem bastante gente boa, que trabalha em qualquer empresa em qualquer lugar do mundo", pontua.
      Segundo ele, para quem quer atuar na parte de defesa, primeiramente é preciso saber analisar malware, ou seja, ter a capacidade de analisar um arquivo. "Isso seria o principal. E para fazer a análise de malware é preciso ter uma noção básica de programação", diz, contando que ele mesmo sempre gostou de programar e começou a fazer isso usando macros do Word. 
      Desde 2007, Thiago é analista de malware, e no ano passado, ele começou a trabalhar na área de proteção da Microsoft, entendendo a forma com que os atacantes usam seus métodos de ataque, e identificando como alertar e bloquear esses ataques, até mesmo aprendendo e tentando prever movimentos que atacantes podem fazer no futuro. "Nunca trabalhei muito na parte ofensiva. Eu escolhi a defensiva porque eu gosto, mas já tive ofertas de trabalho para o Red Team", conta. 
      Thiago ressalta que para aproveitar as oportunidades que a área oferece, as pessoas precisam querer entender como as coisas funcionam. "Os ataques usam sistemas que ninguém está olhando, e é preciso conhecer isso para identificá-los. Ter uma boa base de conhecimento sobre sistema operacional e programação, saber como é o processo entre o que você escreveu até o resultado chegar na sua tela, entender esse fluxo leva tempo, e por isso muita gente acaba pulando essa etapa", diz.  
      Para ele, dedicar um tempo para entender as coisas básicas de funcionamento é essencial antes de focar no que você gosta. "A parte de defesa abrange análise de dados, engenharia reversa, depende muito. Mas ter uma base de como as coisas funcionam vai ajudar em qualquer área", complementa.

    • Você ainda acha que a função de um analista de segurança é restrita apenas a Pentest? Então este artigo é para você. Afinal, esse é um dos erros mais comuns de profissionais em início de carreira. É claro que Pentest é, sim, uma  parte essencial na segurança de aplicações. Mas AppSec vai muito além do Pentest! 
      Na primeira parte deste artigo sobre carreiras em AppSec, abordamos alguns papéis como Product Manager - essencial em empresas de produto, como é o caso da Conviso - bem como profissionais de Sales e de Engineering. Nesta  segunda parte, vamos abordar as diferentes possibilidades de direcionamento de carreira que um Analista de Segurança da Informação pode seguir. 
      Na Conviso, por exemplo, há três times diferentes de Professional Services  em que um Analista de Segurança da Informação pode trabalhar: PTaaS - Pentest as a Service, Consulting e MSS - Managed Software Services. Isso porque a empresa trabalha com as melhores práticas de segurança de  aplicações e, para isso, entre suas ferramentas, utiliza também o modelo da OWASP SAMM, que sugere um conjunto de práticas de segurança que atende todo o ciclo de vida do software. 
       
       
       
      Desenhando soluções seguras 
      O Omayr Zanata (foto ao lado), que é Tech Lead do time de Managed Services, explica que a área de MSS atua em três dos cinco pilares propostos pelo SAMM - Design, Implementação e Verificação. No pilar de Design, por exemplo, ele conta que o time de MSS atua ajudando o cliente a desenhar uma solução pensando em segurança desde o início. 
      "A gente bola a parte da arquitetura segura, executa a modelagem de ameaças, e elencamos os requisitos de segurança necessários, para desenhar uma arquitetura segura. Tudo isso em parceria com o cliente, para garantir a segurança da aplicação desde o início - que é justamente o que manda o famoso conceito Shift Left", explica. "A segurança tem que ser pensada na etapa desde os desenhos iniciais de arquitetura", reforça. 
      Na parte de Implementação, entra a segurança no DevOps, com o building seguro, o deploy seguro e a gestão dos defeitos, por exemplo. Já na fase de Verificação é quando é realizado o Assessment de Arquitetura, bem como os testes baseados em requisitos e os testes de segurança, como por exemplo SAST, DAST, SCA - que, aqui, são automatizados, diferentemente dos Pentests e Code Review, que são manuais.
      Quanto ao perfil de analista que atua na área de MSS, Omayr explica que é  bastante importante que o analista tenha background de desenvolvimento e dois perfis são bastante interessantes para a atuação na área: o primeiro é um perfil mais orientado a DevOps e um segundo perfil mais orientado à arquitetura. 
      "Muita gente acha que precisa ter experiência em pentest para atuar com segurança, e na verdade, os maiores diferenciais nessa área são o background de desenvolvimento e experiência com desenhos de arquitetura, cloud, microsserviços e esteiras de desenvolvimento", afirma. Ele conta ainda que uma boa dica para quem busca uma colocação na área é ganhar familiaridade com o modelo da OWASP SAMM e o OWASP ASVS. 
      Quer trabalhar com o Omayr? Confira as vagas no time dele! 
       
      Treinamentos e capacitações 
      Dentro dos pilares do SAMM, a área de Consulting é voltada para de Governança e Operações - e atua também em Design. Neste time, o Analista de Segurança tem em sua rotina inúmeras atividades que abrangem desde uma documentação de procedimentos até a condução de treinamentos; além disso, deve prestar uma assessoria aos clientes internos e externos em relação às soluções e boas práticas de desenvolvimento e gerenciamento de segurança em seu ambiente. 
      Evandro Pinheiro de Oliveira (foto o lado), que é Analista de Segurança, conta que faz parte do seu dia a dia na área ministrar treinamentos para os times, com a estratégia de formar Security Champions. Isso significa preparar materiais, capacitar pessoas. Ele também atua na parte política, de dar consultoria no suporte a regras e normas - isso tudo o que faz parte do pilar de Governança do SAMM. 
      Já na fase de Design, atuam com o levantamento de Requisitos, aplicando uma estratégia de análise de ameaças, que ocorre na construção de software. No pilar de Operações, é feita a observação de indicadores. “Para trabalhar em Consulting, o pessoal precisa ser mais comunicativo, justamente por estar mais no dia a dia com o cliente - além, é claro, do conhecimento técnico necessário, uma vez que ainda é essencial conhecer as lógicas de programação, para falar com propriedade, embasamento”, reforça.
      Ele conta que embora o time conte com profissionais de experiências variadas - de júnior a sênior - trata-se de uma excelente porta de entrada para o mercado de AppSec, justamente por exigir de pesquisas e estudos constantes sobre todo o ciclo de desenvolvimento - assim, o profissional consegue ter uma melhor compreensão de qual área ele se identifica mais. E o próprio Evandro é prova disso - ele trabalhou por 10 anos com desenvolvimento e tinha paixão por Segurança de Aplicações. Estudou bastante, buscou se familiarizar mais com os conceitos da área e foi atrás de uma colocação no mercado - e foi assim que chegou até a Conviso. 
      É claro que tem vaga nesse time, né? Saiba mais! 
       
      E, enfim, o Pentest! 
      Heitor Pinheiro(foto ao lado), Tech Lead da Área de Pentest as a Service, conta que neste time, em específico, os analistas exercem três grandes práticas: Operations; onde executam todos os projetos, nos mais variados contextos e escopos possíveis. “Resumidamente o objetivo é entregar valor aos nossos clientes através da identificação de vulnerabilidades”, afirma Heitor. 
      A segunda prática é Research, onde os profissionais fazem pesquisa de vulnerabilidade em softwares e serviços utilizados de forma abrangente, buscando proporcionar aprimoramento técnico e comercial através do compartilhamento dos resultados obtidos. 
      Já a terceira se chama Tooling, e eles contam com a ajuda de especialistas em automações, onde eles são responsáveis por nos prover recursos que nos permite operar em alta velocidade e em larga escala. “Um exemplo básico é auxiliar outras equipes especializadas em segurança em seus esforços de automação, definir e possuir métricas e KPIs para determinar a eficácia das automações criadas”, detalha. 
      “De forma muito geral, para atuar em um time de Pentest, o profissional precisa ter uma boa base em desenvolvimento de software/aplicações, redes, sistemas operacionais e muita vontade de aprender, pois nesse universo existem novos desafios todos os dias”, aconselha. 
      Outra dica que ele dá para quem busca trabalhar na área é arriscar-se. Segundo o Tech Lead, boas formas de fazer isso são participando de competições de CTF, contribuindo para a segurança de um projeto open-source; ou mesmo mantendo um projeto ou blog sobre o tema. “Através desses desafios, é mais rápido e divertido de entender o que funciona no mundo do AppSec - e também é uma forma de conseguir maturidade com casos reais”, conclui. 
      Curtiu? Então vem trabalhar com o Heitor! 
       


    • Golpes de phishing e tentativas de extorsão têm sido cada vez mais comuns e alguns se tornam bem elaborados na medida em que criminosos estão se aprimorando para tentar ao máximo enganar a vítima a pagarem uma quantia de dinheiro sem perceber que estão sendo confundidos. 
      A equipe do Mente Binária recebeu a denúncia de mais uma caso clássico de utilização de faturas falsas para tentar enganar vítimas a pagarem boletos. Desta vez, se trata de uma fatura que imita um boleto da Claro/Net. 

                                                                                                            Boleto original (à esq.) e boleto falso (à dir.) recebidos pelo mesmo cliente
      Neste golpe, há algumas diferenças claras entre o boleto original, à esquerda, e o falso, à direita. Primeiramente, o número do cliente está errado, portanto, não o boleto não foi enviado de algum de dentro da Claro/Net, apesar de ter sido recebido por um cliente da empresa. Outro dica para se proteger de golpes como esse é, caso você seja um cliente da empresa, reparar se o boleto enviado têm as mesmas cores e comunicação dos boletos anteriores, o que não é o caso. 
      A vítima alerta ainda que a conta chegou no mesmo período que chega normalmente a cobrança da Claro/Net, com um vencimento plausível e um valor próximo do real que precisaria ser pago. Mas houve em meio às desconfianças, estava o endereço de e-mail do remetente, que neste caso é do ig, sendo mais um indício de que a conta é falsa.

      E-mail recebido utiliza remetente falso

    • Nos artigos anteriores, reunimos algumas dicas para quem busca uma carreira em segurança de aplicações. Contamos também sobre o dia a dia de um estagiário do time de Pentest. Mas você sabe quais são as demais possibilidades de carreiras que a segurança de aplicações permite? 
      Para entender melhor, conversamos com algumas pessoas que vivem a  rotina de AppSec na prática. Afinal, como já contamos aqui anteriormente, AppSec é uma das carreiras mais promissoras para o futuro! 
       
       
      Product Manager - conectando a estratégia da empresa às necessidades do cliente 
      Vamos começar pela Product Manager - uma função muito importante quando se trata de uma empresa de produto, como é o caso da Conviso, que desenvolve o AppSec Flow. Isabelle Gomes (foto ao lado), que é responsável por esse papel no time de Produto da Conviso, conta que a Product Manager é a profissional responsável por conectar três 3 áreas estratégicas de uma empresa: UX, Tecnologia e Negócios. “É necessário que esta profissional faça a conexão entre a estratégia da empresa e as dores do cliente”, pontua. 
      Dentre seus principais desafios, está o de facilitar o trabalho da equipe, removendo impedimentos e aproximando pessoas que podem ajudar o time a entregarem suas demandas de forma mais estruturada e eficiente. “Para isso, é preciso garantir que as entregas tenham equilíbrio entre tempo de desenvolvimento e qualidade”, esclarece. 
      Sobre a rotina do time, ela conta que é marcada por rituais - desde reuniões diárias para abordar a programação do dia e alguma eventual barreira no desenvolvimento, a Ritos Ágeis de início e encerramento de sprints, que ocorrem quinzenalmente. Retrospectivas também fazem parte da rotina.
      “Por outro lado, temos continuous discovery acontecendo, onde juntamente com o Product Designer, temos interações com usuários reais por meio de entrevistas, testes de usabilidade, shadowing, focus group entre outras atividades de ideações e validações do produto”, explica. 
      Segundo Isabelle, para fazer um trabalho de excelência, uma Product Manager precisa ter algumas características como: empatia, saber trabalhar a liderança por influência e sem autoridade; facilidade de comunicação; um mindset de pensamento e visão estratégicos alinhados com a estratégia da companhia; ter a capacidade de decisão e priorização de roadmap e conhecer muito bem o seu mercado. 
      A dica dela para quem sonha em entrar para Segurança de Aplicações é estudar sobre produtos, estar sempre atualizado com cursos, podcasts, meetups, notícias, youtube. “Seja muito humilde e pratique a empatia a todo momento”, aconselha. 
      Ah, vale lembrar que tem vaga para o time da Isabelle. Confira aqui. 
       
      O Desenvolvedor em uma empresa de AppSec 
      Já o desenvolvedor – ou dev, como é popularmente chamado – é o  profissional que se dedica ao desenvolvimento de software. Você sabe como é a rotina de um dev em uma empresa de AppSec? 
      De acordo com Felipe Lima (foto ao lado), que é Desenvolvedor Ruby on Rails no time de Engineering da Conviso, trata-se de um dia a dia desafiador, porém muito bacana para evolução técnica. “Precisamos entregar códigos seguros, então além de estudar para manter o código seguro, utilizamos o nosso produtos para monitorar qualquer código”, explica. 
      Sobre a rotina do time, ele conta que geralmente eles trabalham com sprints semanais, com o foco sempre na melhor entrega para o cliente - tanto interno quanto externo - e também adicionando testes unitários para validar o código, além de fazer code review nos pull requests de outros devs. “Nosso principal desafio é fazer com que o produto cresça de uma forma simples e segura”, analisa. 
      Para quem já é dev e atua em outros nichos, mas está considerando uma transição de carreira e tem curiosidade para trabalhar com segurança de aplicações, o Felipe deixa uma dica: “Acredito que é preciso entender por quê precisamos sempre entregar códigos seguros, e também ter a vontade de aprender como proteger seu código e seu sistema, bem como aprender mais sobre ferramentas que podem auxiliar na segurança de seu código, e estar atento a updates de bibliotecas que têm algum fix de segurança. Aprender um pouco mais como funciona um scan de código também é bem importante”, ensina. 
      Achou interessante? Tem vaga para Dev na Conviso, confira! 
       
      Sales - como funciona um time de vendas dentro de uma empresa de AppSec  
      Já comentamos sobre isso em nosso texto com 4 motivos para apostar em uma carreira em AppSec, mas uma empresa de segurança de aplicações é feita não apenas por desenvolvedores e analistas de segurança da informação - mas também por profissionais de Comunicação, Finanças, Marketing, Sales - ou seja, existem muitas possibilidades para quem se identifica com a área, mas não é necessariamente egresso de cursos de tecnologia. 
      A Andrea Pizzato (foto ao lado), por exemplo, é Account Executive no time de Sales da Conviso, e explica que embora para trabalhar no time dela não seja necessário abordar AppSec com a mesma profundidade técnica que um desenvolvedor usaria, é importante ler bastante sobre o assunto para ter um bom embasamento. 
      A Andrea explica que seu time conta com um canal de sales-advisory, onde são trocadas informações com o time técnico, que está sempre disposto a ajudar. “O grande negócio é ser curioso e interessado, consumir bastante conteúdo que é compartilhado entre as equipes, e gostar de aprender”, aconselha.
      A rotina dela envolve realizar reuniões com os clientes e entender suas necessidades, bem como identificar suas dores e desafios, estruturar um projeto que tenha aderência ao cenário deles e fazer todo esse acompanhamento: desde o primeiro contato até o kick off do projeto. “Pode até parecer fácil, mas para isso acontecer, rolam muitos desdobramentos”, ela explica. “Além disso, ficamos muito atentos aos indicadores, sempre pensando em como podemos crescer e melhorar nosso funil de vendas”, complementa a Account Executive. 
      Ah, e tem vaga no time de Sales da Conviso. Inscreva-se! 
      Na segunda parte deste artigo, que publicaremos em breve, falaremos sobre todas as funções e direcionamentos que um Analista de Segurança da Informação pode seguir em uma carreira em Segurança de Aplicações. Não perca! 


    • Um incidente relacionado aos sistemas do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq) deixou indisponível o acesso ao currículo Lattes e diversos sistemas de informática da instituição. O problema já ocorre há mais de três dias, levando à repercussão, nas redes sociais, de cientistas e professores que estão se manifestando sobre o quanto o "apagão" pode prejudicar seus trabalhos.
      A Plataforma Lattes CNPq integra as bases de dados de currículos e de instituições da área de ciência e tecnologia em um único sistema de informações. Sua importância e relevância atual se estende não somente às atividades operacionais de fomento do CNPq, como também às ações de outras agências federais e estaduais na área da Ciência e da Tecnologia. O CNPq nomeou o sistema em homenagem a César Lattes, físico brasileiro e um dos principais responsáveis pela criação da instituição. 
      Em comunicado, o CNPq afirma que "o problema que causou a indisponibilidade dos sistemas já foi diagnosticado em parceria com empresas contratadas e os procedimentos para sua reparação foram iniciados". A instituição destaca que existem backups cujos conteúdos estão apoiando o restabelecimento dos sistemas, reforçando que não houve perda de dados da Plataforma Lattes.
      O incidente repercutiu negativamente entre pessoas que atuam nas áreas de Ciência e Tecnologia, já que o site reúne toda a trajetória acadêmica dos pesquisadores brasileiros, enquanto professores e estudantes cadastram as informações sobre sua produção acadêmica, as pesquisas em andamento ou finalizadas, os artigos publicados, as bolsas conquistadas, entre outros.
      Apesar do CNPq afirmar que há backup, a demora para o restabelecimento do sistema incomodou os especialistas da área. A Cientista da Computação recentemente entrevistada pelo Mente Binária, Nina da Hora, manifestou em suas redes sociais a insatisfação com as explicações dadas no comunicado do CNPq sobre o ocorrido:
       
      O professor e político Comte Bittencourt está entre os que se manifestaram sobre a problemática relacionada à indisponibilidade do sistema:
      Nós do Mente Binária notamos que parece haver uma negligência em relação aos processos de backup de dados, já que muitas empresas e instituições sofrem com esse tipo de apagão ou falta de acesso, especialmente por conta de ataques e ameaças de segurança, como ransomware, o que tem sido crescente. Isso denota a baixa maturidade das empresas em relação à segurança, disponibilidade e integridade dos dados, que é o caso do incidente ocorrido no CNPq, mesmo que este não esteja relacionado a um ataque.

×
×
  • Create New...