Jump to content
    • Fernando Mercês
      O vx-underground notou que o site do Ministério da Defesa Russo, https://mil.ru, está devolvendo um código de erro HTTP 418 para quem tenta acessá-lo de fora da Rússia, como mostra captura de tela abaixo:


      Mensagem de erro ao tentar acessar o site em 24/02/2022 às 15h51 UTC-3
      Esse código de retorno foi parte de uma piada de primeiro de abril implementada na RFC do HTTP em 1998. De acordo com a documentação, o código HTTP 418 significa “Eu sou um bule de chá”, brincando com o fato de não poder fazer café por tal motivo.
      A única razão pela qual um webserver emitiria esse erro é trollar quem tenta acessar. Historicamente, alguns administradores de servidores web configuram seus servidores para emitirem este erro quando o webserver detecta scripts automatizando acessos (crawlers).
      Se um site oficial do governo russo o faz, é justamente para trollar o mundo, pois é algo configurado manualmente.
      A piada vem em momento de muito mal gosto, já que ontem a Rússia invadiu a Ucrânia, atacando a capital Kiev com mísseis, o que deu início a uma guerra.
      Diversas personalidades no mundo da tecnologia já se pronunciaram a respeito da guerra iniciada pela Rússia. Um dos criadores da criptomoeda Ethereum, o russo-canadense Vitaly Dmitriyevich "Vitalik" Buterin, disse num tweet que "O Ethereum é neutro, mas eu não". "Muito triste com a decisão do Putin de abandonar a possibilidade de solução pacífica na disputa com a Ucrânia e partir para a guerra. Isso é um crime contra os cidadãos ucranianos e russos. Eu espero que todos fiquem seguros, embora eu saiba que não vai haver segurança. Glória à Ucrânia.", diz no seu segundo tweet.
       

    • Duvido que você não conheça alguém que teve sua conta de Instagram sequestrada; ou pelo menos que tenha recebido um link de uma oferta irresistível, ou um pedido de pix para terceiros. Como diz o meme, “o golpe tá aí”, e as pessoas caem por desatenção, ou por se deixar levar pelas informações enganosas. 
      Foi pensando em trazer mais informações à população e ajudar a identificar os riscos cada vez mais presentes de ser vítima de um desses golpes que o Observatório de Crimes Cibernéticos (OCC), lançou nesta quinta-feira, 04, o e-book “É bom demais para ser verdade?”, escrito por Alesandro Barreto, delegado de Polícia Civil do Piauí, em parceria com Natália Siqueira, policial civil de São Paulo. 
      O livro traz uma lista dos 50 golpes mais comuns na internet, descrevendo de forma bem simples e didática como é o modus operandi de cada um deles, e ainda ensina as medidas para recuperar contas sequestradas, e orienta o que deve ser feito caso seja vítima desse tipo de golpe.
      “Eu acredito na educação digital da população como uma maneira de mitigar esses crimes. Nossa missão é trazer informação, e quanto mais cursos, palestras e informações sobre o assunto houver, melhor”, afirma Barreto. 
      Na lista dos 50 golpes mais comuns, as orientações de prevenção acabam passando por um ponto comum: desconfie. Isso até tem a ver com o nome do livro. “Se parece bom demais, fácil demais ou até simples demais, desconfie, é golpe”, salienta o delegado. 
      Outro ponto em comum das medidas a serem tomadas pós-golpe é a importância de denunciar e registrar um boletim de ocorrência. “Isso nos ajuda a ter uma dimensão do problema, impedindo que os casos fiquem subnotificados, e trazem mais elementos para que os casos sejam solucionados, e criminosos não saiam impunes”. 
      O livro está disponível neste link, e pode ser baixado gratuitamente. A ideia é compartilhar com o máximo de pessoas que puder. “A tecnologia oferece coisas maravilhosas a todos, e ela sempre vai trazer inovações. A questão não é a tecnologia, são as pessoas, daí a importância de conscientizar a população. Precisamos fortalecer a cultura de segurança digital”, finaliza. 
      E-book: É bom demais para ser verdade? - 50 tipos de golpes digitais 
      https://occ.org.br/downloads/e-book-50-tipos-golpes-digitais.pdf
       

    • A Tempest Security Intelligence lançou na segunda-feira (24) um novo serviço diário de notícias sobre cibersegurança. O serviço, chamado Cyber Morning Call, utiliza o formato de podcast para trazer, todas as manhãs, os assuntos mais relevantes das últimas 24 horas, incluindo novos ataques, vulnerabilidades e ameaças.
      Usando uma linguagem acessível, o Cyber Morning Call foi criado para trazer insights importantes para quem precisa tomar decisões sobre cibersegurança, segundo o seu curador e apresentador, Carlos Cabral. 
      Cabral é pesquisador de cibersegurança da área de Threat Intelligence da Tempest e, na seleção dos temas de cada edição, conta também com a expertise de mais de um ano em curadoria de conteúdo de cibersegurança realizada pelo time responsável pelo boletim No Radar, entregue diariamente por email a clientes da Tempest.
      Versatilidade levou à escolha do formato 
      Segundo Cabral, a ideia de ter um podcast na Tempest não é recente, “deve ter já uns 3 ou 4 anos”. E a escolha do formato se deu pela facilidade com que ele pode ser consumido. “A pessoa pode baixar no celular e ouvir a qualquer momento, sem interromper o que está fazendo… é diferente de parar para ver um vídeo no YouTube, por exemplo”.
      Mas, de acordo com o pesquisador, para criar um podcast era necessário desenvolver algumas ações prévias. Uma delas era desenvolver um ritmo diário de produção editorial, o que foi possível com o boletim No Radar. 
      “O No Radar passou a ser um primeiro filtro para o roteiro do podcast. Eu pego aquele material e seleciono o que é mais relevante, incrementando com outros fatos e notícias que porventura aconteçam durante a madrugada para entregar algo ainda mais atualizado”, conta. 
      Morning Calls de bancos foram inspiração para o podcast da Tempest
      A inspiração para o Cyber Morning Call partiu dos morning calls diários, que eram chamadas telefônicas feitas por agentes do mercado como bancos.
      Eles ligavam para seus clientes para informar sobre o que aconteceu no dia anterior, informar sobre indicadores econômicos, tendências para o dia, etc, para que o investidor pudesse balizar suas decisões. “Muitos desses Morning Calls, inclusive viraram podcasts…”, segundo Cabral.
      “A gente entende que hoje os assuntos de cibersegurança passaram a ter uma importância similar, por isso escolhemos o nome Cyber Morning Call… A intenção é, logo pela manhã, fornecer um conjunto de informações para o tomador de decisão de cibersegurança para ajudá-lo a conduzir o seu dia. 
      Público inclui de gestores a interessados nos temas da cibersegurança
      Segundo Cabral, a iniciativa está diretamente ligada à missão da Tempest de tornar a cibersegurança um direito do mundo, especialmente porque: “em primeiro lugar o conteúdo é público. Qualquer pessoa interessada no assunto pode baixar e consumir à vontade, não precisa ser necessariamente um profissional, muito menos um gestor de segurança”. 
      Para atingir o maior público possível, Cabral conta que há todo um esforço para trazer a linguagem das pautas o mais próximo possível de uma linguagem acessível a todos; “claro que a depender do tema não tem como evitar de usar um jargão mais técnico - mas esse esforço existe, até porque o próprio tomador de decisão em uma empresa nem sempre é um técnico e ele precisa entender os impactos e mesmo riscos de cada pauta”. 

      Primeiros episódios já estão disponíveis

      Os primeiros episódios do Cyber Morning Call já estão disponíveis nas principais plataformas de podcasts, incluindo Apple Podcasts, Spotify e Google Podcasts. Clique aqui para saber mais.
       

    • É sempre bom quando me deparo com um projeto de software livre criativo. E é a cara do Brasil ser o berço de softwares assim. Aqui no Mente Binária, além de trabalharmos muito pela formação tecnológica no Brasil, também mantemos vários projetos de software livre e para isso contamos não só com a comunidade, mas também com dois estagiários que começaram conosco ano passado. São dois estudantes de programação que, além de trabalharem nos nossos projetos, também desenvolvem seus próprios.
      E é justamente sobre um caso desse que venho falar hoje: o OPM (Oxidized Packager Manager) é um gerenciador de pacotes de pacotes DEB, então pode ser usado em sistemas como Ubuntu, Debian, Kali, etc. No entanto, o FallAngel, principal desenvolvedor, pretende estender este suporte a outros tipos de pacote, como o RPM.
      Os seguintes sub-comandos são suportados pelo OPM:
      clear – Limpa o cache do OPM help – Exibe a ajuda install – Instala um pacote remove – Remove um pacote search – Busca por um pacote update – Atualiza o cache do OPM O OPM gerencia as dependências, assim com o APT. O código, escrito em Rust, é super enxuto e o desenvolvedor não vê a hora de receber contribuições. Se você conhece da linguagem ou está a fim de aprender, ou mesmo tem só a curiosidade de saber como um gerenciador de pacotes funciona, tá aí sua oportunidade, isso porque o desenvolvedor é brasileiro e acessível.
      Downloads, código e mais informações podem ser obtidas no repositório do OPM no Github.
      Velocidade
      Se tem uma coisa que chama atenção no OPM é a velocidade. Uma busca em todos os pacotes disponíveis dura menos que um segundo! Olha só:
      # export PKG_FMT=deb $ time sudo target/release/opm search ht | grep -i editor ht - Viewer/editor/analyser (mostly) for executables real 0m0.067s user 0m0.051s sys 0m0.015s Olha a velocidade de instalar o tmux... 0 segundos!
      $ sudo ./target/release/opm install tmux Installing tmux for debian ... Looking up for dependencies ... Done Installing 2 NEW package libevent-core-2.1-7 tmux After this operation, 561.26KiB of additional disk space will be used. Do you want to continue? [Y/n] y Done Installing libevent-core-2.1-7 ... Done Installing tmux ... Running pre-install script ...Done Running post-install script ...Done Installed tmux in 0 seconds Compatibilidade
      O OPM é genérico e foi feito principalmente para permitir a instalação de pacotes personalizados. No entanto, com a variável de ambiente PKG_FMT=deb, ele passa a utillizar os repositórios do APT.
      Inifinitas possibilidades
      Imagine um sistema embarcado onde manter a infraestrutura de um DPKG, RPM ou APT seja muito custosa (espaço, performance, etc)... O OPM parece ser ideal. ?
      Ou ao desenvolver seu próprio Linux, por que não ir de OPM?
      Comunidade
      Falando em ser acessível, junto com outros membros do servidor do Mente Binária no Discord (e possivelmente outros), o desenvolvedor do OPM e outros amigos criaram a comunidade CoffeCode no Discord, pública para quem quiser trocar ideia sobre programação e aprender. Não por coincidência, Rust tá no topo dos canais, mas também há canais para C/C++, Python, Assembly, Java e Golang. ?
       

    • O que será que o mundo da computação e segurança da informação está mais precisando em termos de especialização? Sabemos que o que mais as empresas necessitam, hoje, é investir em segurança, e para isso é preciso ter profissionais habilitados a trabalhar para que o ambiente das companhias esteja o mais protegido e disponível possível, dentro, é claro, do que está ao seu alcance.
      Em novembro nós falamos um pouco sobre alguns dos crimes cibernéticos que ocorreram em 2021. A cada dia há mais e mais casos de ataques, e para isso ser mitigado, profissionais da área bem capacitados são requeridos.
      O que ocorre no Brasil é um déficit desses profissionais. Um estudo da (ISC)² indica que, em 2021, o Brasil alcançou uma defasagem de 441 mil profissionais do segmento, sendo esse número o maior entre os 14 países avaliados pela pesquisa.
      O estudo sugere ainda que, diante do avanço das ameaças digitais durante a pandemia, essa força especializada precisa crescer 65% em todo o mundo. 
      E o que as empresas veem como as profissões que mais vão precisar de gente este ano?
      Entrevistamos diretores do Olist, Spod, Conviso e Tempest, e com base nas respostas, fizemos uma listinha das áreas que serão mais demandadas em 2022:
                1. Segurança defensiva ou ofensiva
      Segundo Samuel Riesz, líder do time de segurança no Olist, profissionais experientes e capacitados em segurança da informação (em qualquer vertente) estão em falta no mercado, e a tendência para as empresas é piorar a situação. 
      A Tempest também está sempre muito focada em identificar profissionais especializados e com grande potencial na área de segurança da informação, seja ofensiva ou defensiva, conforme diz Gilberto Pimentel, gerente de Recursos Humanos da empresa. 
      Um profissional em início de carreira na área de SI tem uma remuneração média mensal entre R$ 4 mil e R$ 6 mil, segundo Pimentel. Ele destaca ainda que para se preparar para essa profissão é preciso dominar certas ferramentas e técnicas. "Em geral, é interessante possuir conhecimento geral dos sistemas. Assim, o entendimento da dinâmica de funcionamento será mais eficiente", pontua.
                2. Engenharia de software ou de segurança
      Essa também foi uma profissão que apareceu entre nossos especialistas. Para a Conviso, o engenheiro de segurança de aplicações, mais especificamente, está entre as principais profissões demandadas para este ano. "Este profissional do planejamento e desenho de aplicações seguras", explica Wagner Elias, CEO da Conviso.
      "Isso envolve a definição de arquiteturas e soluções até o acompanhamento do desenvolvimento e atendimento a requisitos que foram definidos por modelagens de ameaças", continua.
      Segundo Elias, no Brasil a média salarial deste profissional é de R$8 mil CLT, mas pode alcançar cifras bem mais altas de acordo com a experiência prática do profissional. 
                3. Analista de Suporte Técnico 
      Para Rafael Cimatti, co-fundador da Spod, essa é a profissão que vai despontar em 2022. "O analista de suporte técnico deve conhecer os produtos (hardware e software) da empresa para poder auxiliar os clientes e executar manutenções quando necessário".
      A remuneração inicial aproximada é de R$ 2,3 mil, mas o analista pode crescer indo para a área comercial como pré-venda ou ainda para a área técnica de desenvolvimento de produtos, segundo Cimatti.
                4. Profissionais de AppSec
      O Olist também possui uma demanda por bons profissionais de segurança de aplicações (AppSec) que conheçam além do básico, entendam bem de arquitetura de software e de soluções tecnológicas. "Também temos sentido uma grande falta de profissionais de arquitetura de segurança, que conheçam de aspectos de segurança de infraestrutura, gestão de identidade e acesso, operações de segurança e boas práticas de segurança no geral", relata Samuel Riesz.
      Falando especificamente em funções dentro de segurança, ele acredita que a função de analista de segurança de aplicações e similares serão as mais demandadas.
      Profissões de segurança da informação em alta no mundo inteiro
      Não importa muito com qual dessas áreas você se identifica mais. "Todas, repito, todas as profissões dentro de segurança da informação estão em alta no mundo inteiro", reforça Riesz. Segundo ele, não faltam recrutadores assediando diariamente todos os profissionais do ramo.
      "Cyber security tem, cada vez mais, se consolidado como prioridade do mundo corporativo. O incremento dos investimentos em segurança tem, evidentemente, gerado uma procura considerável por profissionais de segurança da informação", diz Gilberto Pimentel, da Tempest. 
      Wagner Elias, da Conviso, também destaca que a demanda por esses profissionais continuará crescendo, especialmente engenheiros de segurança de aplicações. "Os desafios para construir aplicações resilientes a ataques são cada vez mais altos e as tecnologias evoluem constantemente. Não irá existir em um curto período uma solução ou ferramenta que substituam o trabalho de um bom especialista".
      Já para quem quiser ir para o suporte técnico, como indicou a Spod, as oportunidades de crescimento também são grandes. "O analista pode crescer indo para a área comercial como pré-venda ou ainda para a área técnica de desenvolvimento de produtos", ressalta Rafael Cimatti.
      O que estudar?
      Não fique perdido na hora de buscar especializações em uma das áreas citadas. "Para o analista de suporte técnico é necessário ter conhecimento geral na área de TI e informática e gostar de aprender, já que nessa área sempre temos novas tecnologias e produtos no mercado", diz Cimatti. 
      Cursos como Sistemas de Informação, Ciência da Computação, Engenharia Computacional, Análise e Desenvolvimento de Sistemas são recomendados para esta área.
      Os profissionais de segurança da informação, tanto ofensiva quanto defensiva, precisam dominar certas ferramentas e técnicas, além de possuir conhecimento geral dos sistemas. "Recomenda-se, ainda, a formação em curso de tecnologia e áreas afins", diz Gilberto Pimentel. "Certificações, ainda que não sejam obrigatórias, também são ótimas fontes de conhecimento". 
      E ele indica trabalhos em configuração de sistemas e suporte como excelentes oportunidades para obter conhecimento básico, além da formação em curso de tecnologia e áreas afins. 
      Já o engenheiro de segurança de aplicações precisa ter uma base sólida em arquitetura e desenvolvimento de aplicações e dominar os padrões de arquitetura e construção de aplicações cloud native, explica Wagner Elias.
      No caso de AppSec, o profissional que atua nessa área precisa gostar de desenvolvimento de software e ter curiosidade e perseverança para superar desafios é base para evoluir na carreira profissional.
      "É necessário estudar e se desenvolver em assuntos como Desenvolvimento de Software Seguro, Exploração de Vulnerabilidades em Softwares, Redes de Computadores, Arquitetura de Software e se manter bem atualizado no mundo de segurança", indica Samuel Riesz.
      E ele já dá a letra: "hoje já existe muito material disponível de maneira gratuita na Internet". Veja o que ele elencou de mais relevante para o estudo da área:
      Livro: Tangled Web - A Guide to Securing Modern Web Applications - by Michal Zalewski – https://nostarch.com/tangledweb - "Livro essencial para quem quer iniciar na área de segurança de aplicações. Apesar de já estar um pouco datado ainda é referência na área"; Livro: Real-World Bug Hunting - A Field Guide to Web Hacking - by Peter Yaworski - https://nostarch.com/bughunting - "Um pouco mais recente, aborda direto ao assunto técnicas reais para testes em aplicações"; https://www.hackthebox.com/ - "Um playground para segurança ofensiva de todas as maneiras, essencial para quem está na área e quer se manter sempre em evolução"; https://pentesterlab.com/ - "Ótima plataforma para desenvolver habilidades ofensivas em web hacking"; https://gohacking.com.br/cursos - "Atualmente uma das melhores escolas de segurança cibernética e é brasileira!" https://ine.com/pages/cybersecurity - "Ótimos cursos com ótima didática"; https://www.offensive-security.com/courses-and-certifications/ - "Must have para quem quer realmente se diferenciar na área. Os cursos e certificações da Offsec estão entre os mais valorizados do mercado". Para quem conhece um pouquinho de lógica de programação, temos o curso certo aqui mesmo no Mente Binária, que é nosso treinamento gratuito de programação em C e fornece bases computacionais importantes para qualquer futuro (e presente) programador:
      Aproveite as oportunidades, se habilite e esteja preparado para iniciar ou decolar em sua carreira em 2022, suprindo umas das principais demandas do mercado de trabalho atual!

    • No último dia 10 de dezembro aconteceu em São Paulo a 11ª edição do Tempest Talks, evento da Tempest onde grandes nomes do mercado discutem sobre os temas mais relevantes de cibersegurança.
      Com formato híbrido, o evento foi realizado na Sociedade Hípica Paulista e transmitido online via YouTube; esta edição teve como tema Novas tecnologias e cibersegurança: como conectá-las em um cenário de alta complexidade. (Veja o evento na íntegra no final deste artigo)
      Complexidade tecnológica inspirou o tema da edição 2021
      Os últimos anos viram uma combinação de fatores que aumentou exponencialmente a complexidade dos negócios.
      Além disso, a pandemia da COVID-19 trouxe uma série de transformações sociais, e muitas delas refletem diretamente no cotidiano das empresas.
      Isso se deu, em parte, graças à aceleração nos processos de digitalização das rotinas nas organizações – seja para atender a seus clientes durante a pandemia, seja para acomodar uma nova rotina de trabalho remoto e/ou híbrido.
      Tudo isso trouxe uma nova dimensão para as perguntas “o quê e como proteger na minha empresa?”.
      Em meio a essa nova e crescente complexidade há uma questão fundamental a ser respondida:  o que é preciso para adotar novas tecnologias ou metodologias sem abrir mão da segurança nesse novo contexto?
      Essa questão inspirou a escolha do tema desta edição do TTalks.
       
      Tempest Talks 2021 – Palestras e painel
      Para responder a essa questão foi selecionado um time composto de especialistas e profissionais com diferentes visões sobre os papéis da tecnologia e da segurança da informação neste novo contexto.
      Em Open Revolution: A Complexidade da Inovação Tecnológica em Ambientes Ultraconectados o fundador da Futurum Capital, Guga Stocco lembrou que cada vez mais as decisões que envolvem a escolha de uma tecnologia precisam considerar tanto  plataformas e estruturas envolvidas na própria operação do negócio quanto suas interações com estruturas de terceiros ou mesmo com ecossistemas inteiros.
      Ao mesmo tempo lembrou que plugar a segurança no processo de implantação de qualquer tecnologia está entre os principais desafios desta decisão.
      Este desafio foi o ponto central da palestra Tecnologias de proteção da identidade:  adoção e implantação com foco na evolução da segurança de Glauco Sampaio, CISO da CIELO.
      Glauco destacou que a evolução dos negócios traz um conflito entre manter-se seguro e oferecer a melhor experiência para seus clientes e que a solução para este conflito passa por uma abordagem de segurança que seja adaptativa, e que esteja em constante evolução.
      Sob essa lógica, tecnologias não podem ser adotadas como um fim em si mesmo, mas como ferramentas para atingir um objetivo, agindo em conjunto, com um mesmo propósito e sob constante revisão.
      As questões de ambas as talks foram também abordadas no painel Inteligência Artificial e Machine Learning: os CISOs e os times de segurança estão preparados para utilizá-los na gestão de riscos cibernéticos?
      O debate contou com Cristiano Lincoln Mattos (CEO da Tempest), Bruno Motta (CISO da Magazine Luiza), Marcello Zillo Neto (Director of Customer Success for Cybersecurity da Microsoft) e Paulo Alessandro (Head de Sales Engineering da Tempest).
      O wrap up do evento ficou a cargo do CTO da Tempest, João Paulo Lins na palestra Open Banking: O que já é possível falar sobre a segurança desse ecossistema.
      Partindo do exemplo prático do Open Banking, João abordou a questão da segurança da informação neste novo contexto tecnológico.
       
      Assista abaixo a íntegra do Tempest Talks 2021:

       

    • Não, você não leu errado, e nem nós cometemos um erro de digitação. O que queremos propor aqui é um exercício de imaginação e expectativas. O que esperamos que evolua no mercado de Segurança de Aplicações ao longo dos próximos 10 anos? Quais são as maiores mudanças - tecnológicas, culturais, comportamentais, educacionais - que gostaríamos de testemunhar ao longo da próxima década neste mercado?
      Para começar, perguntamos aos especialistas da Conviso, que vivem este tema no dia a dia. Na sequência, queremos saber a sua opinião por meio dos comentários, combinado? Conte para nós: o que você acha - ou espera - que mude neste mercado ao longo dos próximos anos?
       
       
      Gustavo Marinho, Analista da Segurança da Informação do time de MSS, conta que já atuou em times de Desenvolvimento ao longo de três anos antes de trabalhar na Conviso, e que o conhecimento sobre AppSec raramente chegava até estes times. “Era algo exclusivo de Infosec”, relata. Confira o que ele vê para este mercado ao longo da próxima década:
      Enxergo que, nos próximos 10 anos, programas de Security Champions terão uma alta demanda, de forma que os próprios desenvolvedores vão aprender mais sobre segurança e defender a bandeira do desenvolvimento seguro. Imagino que cada vez mais os times de produto e as squads de desenvolvimento terão uma preocupação em desenvolver softwares de forma segura. Resumidamente, vejo que AppSec será algo abraçado pelos times de desenvolvimento e possivelmente até pelos profissionais de produto (Product Owner de squads, por exemplo), deixando de se tornar algo majoritariamente do interesse dos profissionais de segurança.
       
       
      Já o Analista de Segurança da Informação do time de Consulting Evandro Pinheiro de Oliveira aposta na evolução das ferramentas. Confira:
      Uma tendência que percebemos no mercado é a parte de ferramentas. Uma amostra disso é o assistente do Azure, a Nuvem da Microsoft, que fica monitorando e dando recomendações para melhorar a postura de segurança dos seus clientes. Claro, temos mais exemplos da evolução de ferramentas da segurança que podem ser combinadas com o aprendizado de máquina/ inteligência artificial para uma nova geração dessas ferramentas. Como das categorias de Security Information and Event Management (SIEM) ou de web application firewall (WAF) que monitoram, registram, alertam e podem tomar decisões ao analisar o tráfego de dados nas aplicações.
       
       
      O Tech Lead Rodrigo Maués, também da área de Consulting, diz que acha complicado fazer previsões acerca de uma área que muda a cada dia, mas aposta em uma mudança de perfil cultural muito grande quando o tema é desenvolvimento de aplicações. Confira:
      Passaremos a olhar profissionais de desenvolvimento não apenas como criadores de uma aplicação, mas como donos da solução, pois é no desenvolvimento que AppSec acontece.
      Essa visão vai moldar um novo ponto, onde equipes de segurança começam a deixar de ser o centro para se tornarem parte do processo - e isso é uma mudança cultural grande nos dias de hoje. Além disso, pontos que entendemos hoje como diferenciais se tornarão obrigatórios, como o conhecimento do dev, que obrigatoriamente vai passar a contemplar conhecimento de práticas de AppSec.
      Também acredito que programas de Security Champions serão os novos "hits" e a existência de um security champion dentro do processo de AppSec será quase que obrigatório.
      Gerencialmente, eu imagino que a principal mudança vai ser na percepção da importância do processo de segurança de aplicação. Não é de hoje que quase todos os negócios se baseiam em soluções de software, que na grande maioria estão expostas, então é natural pensar que isso deve ser um foco de segurança. As legislações estão aí para mostrar que isso deve ser olhado de forma diferente.
       
      Bom, essas foram algumas previsões dos especialistas da Conviso para os próximos dez anos. 
      Mas para melhor compreender como está o mercado neste momento, a empresa especialista em AppSec está realizando uma pesquisa sobre o mercado de Segurança de Aplicações no Brasil, voltada para empresas brasileiras de todos os setores e portes, que lidem com dados sensíveis de usuários.
      São apenas 11 perguntas, que podem ser respondidas em menos de cinco minutos. A pesquisa pode ser respondida anonimamente.
      O ideal é que ela seja respondida por algum profissional ligado à TI, Segurança ou Desenvolvimento da empresa, com conhecimento acerca do orçamento da empresa para a área. 
      Se você se encaixa neste perfil, não deixe de participar da pesquisa sobre o Mercado de AppSec em 2022!

×
×
  • Create New...