Imagine depois de construir um estádio, lembrar que faltaram as saídas de emergência no projeto. Ou ao acabar um arranha-céu, descobrir que as escadas de incêndio não são funcionais. Dá para perceber que corrigir a situação custaria os olhos da cara e que o resultado final nunca seria tão bom quanto pensar cuidadosamente nas necessidades de segurança desde o início …
Com a tecnologia da informação acontece a mesma coisa. A proteção de dados é uma necessidade de segurança básica, ainda mais depois da promulgação da Lei Geral de Proteção de Dados, que nenhum projeto pode ignorar.
Pensar nela depois do desenho inicial, inserir controles de segurança quando a solução está em produção, com os primeiros clientes, vai custar bem mais do que fazê-lo no momento certo.
O resultado dificilmente ficará bom e geralmente se transformará em um Frankenstein, fonte de dor de cabeça permanente, com remendos sobre remendos para ir contornando as falhas deixadas para trás no projeto original.
Não se trata de abandonar as metodologias rápidas, e sim de inserir a segurança nos times de desenvolvimento desde as primeiras discussões e levar em consideração suas recomendações.
Comece certo e o seu produto sofrerá menos com vulnerabilidades ou custos inesperados devido aos riscos assumidos sem conhecimento.
Carlos A. I. Bernardo
Partner at IT Secure Consulting and Alzahra Comunicação