Baker Tilly nos Media | Segurança do Software

01 April 2016

Segurança do Software
Por José Pedro Gonçalves, Partner da Baker Tilly
In Jornal OJE (artigo original)

O Mundo de hoje encontra-se repleto de sistemas e aplicações que registam, transferem e criam informação. Toda esta informação fica registada em inúmeras bases de dados de inúmeras organizações e acessível a inúmeras pessoas por este Mundo fora.

No passado, sabia-se que o papel não se transferia com facilidade, mas era, e continua a ser, susceptível a perda e extravio criando problemas e constrangimentos a muitos processos de negócio. Os inconvenientes, ainda que pudessem ser muitos, estavam mais ou menos controlados, quer no âmbito pessoal, quer no âmbito geográfico.

Mas hoje, como poderia dizer Lavoisier, mas agora aplicado à informação “ … nada se perde, tudo se transforma”, mas contrariando o mesmo Lavoisier, pelo contrário “Tudo se Cria”. O Homem assume o papel de Deus na criação …. da Informação!

Ora, é sobre esta enorme criação, que acontece continuamente, e que amplifica a presença de cada um neste Planeta, que devemos urgentemente estabelecer e implementar as melhores formas de poder garantir a sua fiabilidade nos processos de negócio mais críticos para a vida de cada um. Consideram-se processo críticos os processos de relacionamento com todas as entidades do Estado, a Banca, os Seguros, assim como todas as entidades privadas que registem informação referente a Saúde. Estas entidades registam os nossos Dados Mestre ou Dados Técnicos. A maior parte das restantes entidades não regista este tipo de informação com um detalhe elevado mas, por outro lado, regista Dados Comportamentais, sendo que alguns destes (ex: localizações, horários, etc.) podem ser de elevado grau de criticidade se não estiverem convenientemente protegidos.  

Em Portugal, não se conhece muito bem que processos as organizações implementaram para garantir a segurança dos dados e da informação, quer ao nível humano, quer ao nível aplicacional, quer ao nível das estruturas de manutenção da informação. A Auditoria aos Sistemas de Informação ainda não é uma actividade normal em muitas organizações. Muitas nunca a realizaram, o que indicia muito desconhecimento sobre o que realmente se passa com a informação que mantêm. Será que esta informação não está a ser “capturada” também por concorrentes? Será que ela não é” transportada” diariamente para fora da organização? Os backups estão a ser “armazenados” de forma confiável?

Tudo estas e muito mais situações dependem das aplicações e dos sistemas. Será que são realizados os devidos testes de segurança antes da entrada em exploração? Será que estes testes são efectuados por equipas independentes das que desenvolvem o software? Quem certifica a qualidade da programação? Quem garante que não existem “backdoors”? ….

Os testes à segurança são um dos processos mais críticos de todo o processo de construção das aplicações. Apesar de nunca se poder garantir a segurança a 100%, sem eles podemos estar em presença de 0% de segurança. Estão as empresas e a Sociedade conscientes deste facto?