O maior desafio para garantir a segurança de APIs não está na adoção de tecnologia, afirma Marcelo Alves de Souza, arquiteto de Soluções da NovaRed, integradora de cibersegurança. Ele, que ministrou a palestra “APIs: A Vulnerabilidade Invisível”, realizada hoje (17/9) no 10º Mind The Sec, aponta a falta de integração entre a equipe de desenvolvimento e a de segurança como a maior dificuldade entre seus clientes.
CONTEÚDO RELACIONADO: Governo Federal registra recorde de vazamentos de dados em 2024
“A segurança não fala a linguagem do dev e não entende os processos de negócio”, diz Souza. Ele exemplifica que, na maioria das vezes, a equipe de segurança enxerga as vulnerabilidades e bloqueia a solução ou processo sem consultar ou entender o contexto. Do outro lado, o dev se sente preso em uma burocracia enquanto os executivos de negócio o pressionam para lançar o produto.
Souza diz que o desafio é fazer essas duas equipes conversarem. Apesar do conceito de SecDevOps até estar bem implementado nas empresas, essa integração não ocorre como deveria. “Acaba que nosso trabalho (como integrador de segurança) é mais consultivo para que as duas áreas possam atuar juntas. O estado da arte é quando essas duas áreas estão juntas.”
Como se proteger
Na palestra, o arquiteto da NovaRed também passou algumas dicas sobre como as empresas podem melhorar a segurança de suas APIs:
- Criar um baseline, ou seja, um plano de ação com um orçamento definido.
- Identificar todas as APIs utilizadas a fim de evitar e combater o Shadow API.
- Adotar tecnologias que forneçam visibilidade do tráfego.
- Integrar as equipes de Desenvolvimento e Segurança.
- Gerenciar o uso de aplicativos.
- Gerenciar o legado.
- Privilegiar as melhores práticas do mercado.