Antes de ser instalado e utilizado por funcionários ou negócios, qualquer aplicativo deveria passar por uma verificação de segurança – sejam aplicativos de tradução, agendas compartilhadas ou plataformas de comunicação. O que deve ser avaliado para confirmar a segurança de um aplicativo? Daniel Chromek, Diretor de Segurança da Informação da ESET, compartilhou as perguntas mais relevantes, feitas por qualquer especialista em TI, para definir a segurança de qualquer aplicativo.
1) Existe uma lista de verificação pronta?
“Ao tentarmos definir se um aplicativo ou serviço é seguro, costumamos seguir uma lista de verificações preparada para isso,” explica Chromek, ao dar seu primeiro conselho: prepare duas listas:
· Uma cujo foco será o que os usuários devem pesquisar em um acordo de licença de um aplicativo ou os termos/contrato de serviço.
· E outra acerca do aplicativo em si e seu uso.
A primeira lista pode ser baseada no padrão ISO 27002, e a segunda no padrão de verificação de segurança de aplicativos (móveis) WASP, bem como em suas próprias experiências prévias. O que devem incluir? As perguntas a seguir podem nos ajudar a responder a essa pergunta.
2) Há um acordo de confidencialidade no contrato?
Para qualquer aplicativo, os especialistas em TI devem confirmar ou incluir uma cláusula de confidencialidade no contrato. “Em termos de serviço, esse tipo de cláusula costuma ser vagamente definido. Costumamos encontramos apenas uma frase genérica sobre a proteção de dados, mas se quisermos averiguar a segurança de um aplicativo, talvez seja necessário pesquisar mais informações. Dados adicionais podem ser incluídos, por exemplo, na descrição de segurança de um aplicativo ou em relatórios de auditorias de segurança (por exemplo, relatório SOC2). Esses detalhes podem ajudar os especialistas em cibersegurança a entenderem melhor o que acontece com os dados de um determinado aplicativo, se são criptografados ou não, entre outros fatores,” explica Chromek.
Outro aspecto que deve ser levado em conta ao falarmos de confidencialidade é o destino dos dados obtidos através de um aplicativo depois que um usuário não o utiliza mais. “Continuarão sendo protegidos? Serão excluídos? A empresa detém seu controle novamente? Essas são perguntas importantes que precisam ser respondidas antes do veredito final acerca da segurança de um aplicativo,” adiciona o CIO da ESET.
|
Termos de serviço: não lidos Este site (e plugin de navegador relacionado) oferece uma visão geral dos termos de condições de diversos aplicativos, e os classifica de A a F. Pode ser útil tanto para usuários quanto para administradores de TI. Ainda que não deva ser interpretado como a fonte principal, os leitores conseguem ter uma ideia mais precisa sobre a segurança dos aplicativos. |
3) O que ocorre mediante a falha do aplicativo ou um vazamento de dados?
“Devemos recordar que os aplicativos costumam depender de serviços, que podem vir a falhar. Por isso, é crucial saber o que acontece com nossos dados quando o serviço não está funcionando", segundo Chromek. Um especialista em TI deve verificar as disposições de um contrato no que concerne às falhas de serviço e deve buscar quaisquer relatórios ou páginas de status que forneçam estatísticas e mostrem a frequência de vazamento de dados de um aplicativo e quanto tempo costumam durar.
Um contrato de serviço deve, também, especificar que tipo de compensação seus clientes podem esperar na ocorrência de uma falha de serviço ou quando a proporção de falha versus funcionalidade resulta em um desvio dos números previstos. Um aplicativo pode apresentar diferentes tipos de falha – de um problema interno e pequeno a falhas expressivas que interrompem a continuidade dos negócios (como o incêndio no centro de dados da OVHcloud) e até mesmo “falhas de maior potência” (devido à guerra ou a calamidades naturais, por exemplo). As respectivas compensações costumam variar em cada um desses casos, e alguns dos cenários acima mencionados podem ser incluídos em limitações de responsabilidade ou parágrafos de força maior.
|
Interrupção de serviços da Atlassian, 2022 Em abril de 2022, a Atlassian, empresa de software australiana, passou por uma interrupção de serviços que deixou os clientes sem acesso aos seus serviços por semanas. A empresa vinha recebendo mensagens dos clientes quanto ao inconveniente, mas a Atlassian passou alguns dias apenas oferecendo informações vagas sobre o problema ou possíveis correções. Por fim, diversos clientes da Atlassian customers foram prejudicados por diferentes perdas, pelas quais foram compensados somente com créditos ou descontos para utilizar os serviços da Atlassian. Nesse caso, é discutível se a compensão é adequada ou desejável para os clientes. Fonte: The Pragmatic Engineer, 2022. |
4) É possível realizar testes de penetração?
Mesmo quando a oferta de serviços atende às expectativas, o estado técnico da segurança dos serviços talvez não seja satisfatório. Muitos aplicativos e serviços não fornecem informações sobre testes de segurança em seus relatórios e, além disso, termos e condições costumam proibir rigorosamente as ações consideradas partes inerentes dos testes, tal como tentativas de acesso não autorizado ou desvios de autenticação. Entretanto, testes de penetração podem ser essenciais para determinar se o serviço protege os dados dos clientes de forma efetiva ou não.
Visto isso, especialistas em TI devem tentar estabelecer uma comunicação com os desenvolvedores de aplicativos, buscando obter mais informações acerca de resultados de testes de penetração realizados anteriormente para cada aplicativo ou tentando criar um acordo à parte que permita a realização de testes de penetração.
5) O desenvolvimento e funcionamento do aplicativo ocorre de forma segura?
Retornando ao fato de que é provável utilizar um serviço diferente na simples instalação de um aplicativo, os especialistas em TI devem não apenas determinar se um aplicativo é seguro, mas também se o seu desenvolvimento e operação são seguros. Para obter essas informações, deve-se procurar relatórios de auditoria já existentes, como o relatório SOC2 de Tipo II, ou realizar a auditoria de cada novo fornecedor.
6) Qual é o plano de resposta de incidentes de segurança do fornecedor?
Além de problemas de interrupção ocasionais, um aplicativo também pode se deparar com outros incidentes graves, incluindo vazamento de dados. “Quando isso acontece, precisamos ter certeza de que o fornecedor irá nos informar a respeito do ocorrido. Desde que os negócios tenham responsabilidade com seus clientes, parceiros e funcionários, devem responder a quaisquer incidentes de forma ágil,” complementa Chromek. Se os serviços processam dados pessoais, a necessidade de notificação de violação de dados pode vir de regulações como GDPR ou CCPA.
|
Baseie-se no padrão de verificação de segurança de aplicativos do OWASP O projeto fornece noções básicas para segurança de aplicativos da web, mas, como explica Daniel Chromek, é muito completo e algumas partes podem ser reutilizadas para “clientes de aplicativos que são peixes grandes”. Os especialistas em TI podem usá-lo como orientação inspiradora e escolher alguns dos pontos que consideram mais relevantes para seus negócios.
|
7) Como o aplicativo lida com propriedade intelectual?
Especialistas em TI devem prestar muita atenção à forma pela qual o aplicativo verificado lida com propriedade intelectual. “O contrato pode muito bem alegar que o aplicativo não é responsável por nenhum conteúdo baixado diretamente nele, com o intuito de proteger fornecedores de serviço de processos de propriedade intelectual (como o DMCA). Ainda, pode especificar que alguns conteúdos podem ser usados pelo aplicativo para propósitos específicos, como ‘melhorias de serviço’, possivelmente levando ao desenvolvimento de produtos competitivos. Todos esses detalhes devem ser considerados”, reitera Chromek.
8) A que o aplicativo se destina?
Quando se trata de, por exemplo, aplicativos de mensagens, é preciso habilitar diversos tipos de ações – como envio de mensagens e mídia, gravação de chamadas, compartilhamento de localização, entre outros. Entretanto, alguns aplicativos não requerem tantos direitos assim: “Quando temos, por exemplo, um aplicativo cujo foco são eventos on-line, e ele pede a sua localização, acesso às suas chamadas de telefone, envio de SMS e assim por diante, não faz sentido. A ideia é pensar sobre o que o aplicativo faz e, então, analisar se os requerimentos não excedem as necessidades razoáveis,” conclui Chromek.
|
Lendo entre as linhas “Um aplicativo ou serviço não podem disfarçar o que fazem e manter seu negócio operando. Se houver coleta de dados ou se compartilhamento das suas informações com outras empresas, deverá estar explícito nos termos do serviço. Contudo, os aplicativos podem, às vezes, tentar ocultar informações importantes com frases genéricas, listas longas ou pontos adicionais em letras miúdas. Vale a pena ler os termos e condições com atenção e pesquisar outras fontes também, como relatórios.” Daniel Chromek, Diretor de Segurança da Informação da ESET |
