Marcelo Mesquita

Apenas mais um desenvolvedor WordPress

Qual o nível de segurança do seu sistema?

Constantemente me deparo com esse questionamento por algum cliente e, confesso, ainda hesito um pouco na hora de responder. A primeira coisa que me vem à cabeça é: “O sistema possui um Sistema de Segurança Sayajin Nível 3“. Acredito que a maioria dos cliente se dariam por satisfeitos. Além disso de que adiantaria ficar cuspindo várias siglas e jargões como: XSS, Força Bruta, SQL Injection, etc.

Quanto mais demoro para responder, mais desconfiados ficam os clientes e isso gera ainda mais dúvidas.

Software Livre é outro termo que levanta muitas suspeitas. Muita gente acha que se o código está aberto fica mais fácil para pessoas mal intencionadas descobrirem falhas mas não entendem que o inverso também se aplica. E o fato de o código estar aberto para todos incrementarem amplia o número de revisores e, consequentemente, da qualidade do software.

Escala de Segurança

O problema é que não existe uma escala de segurança para sistemas web. Sei que seria complicado pois deveria levar em conta: servidor, sistema operacional e o fator humano entre outros; mas acredito que essa escala se faça necessária para facilitar o diálogo com clientes leigos e até conduzir o desenvolvimento de novos sistemas.

No que tange os sistemas web, talvez um primeiro passo seja pensar em divisões de nível baseado nas falhas que esse sistema trata, como sanitizar as consultas antes de processá-las no banco. Em seguida, avaliar boas práticas de programação empregadas, por exemplo: não usar variáveis globais.

Cada nível possuiria uma lista de critérios a serem atendidos que ficariam cada vez mais complexos à medida que fosse subindo de nível. Dessa forma teríamos um valor concreto da categoria em que o sistema se encontra.

O Custo da Segurança

Certa vez um cliente disse que queria um site 100% seguro. Pensei em dizer que ninguém se daria ao trabalho de hackear seu site mas acho que isso iria atingir em cheio o seu ego. Ao invés disso, me limitei a chutar um valor e prazo para implementação da solução de acordo com o que ele queria, que ultrapassavam sua estimativa de orçamento e cronograma. Isso foi o suficiente para fazê-lo mudar de idéia.

Um site deve ser tão seguro quanto precisa ser. Esse é outra forma de enxergar uma escala de segurança, entendendo que a implementação de cada nível requer um investimento maior, não só para o desenvolvimento mas para compra de certificados, alocação de recurso e por aí vai.

Nada é Completamente Seguro

Não existe segurança absoluta, mas dizer isso a seu cliente pode significar a perda de um contrato para uma empresa que diz ter um sistema impenetrável.

Mais uma vez uma escala de segurança mostra sua importância. Deixaria claro para usuários inexperientes o nível de segurança de um sistema e nos permitira fazer comparações com os seus concorrentes.

No mais, quer segurança? Coloque seu site em um pendrive criptografado, com senha, dentro de um cofre, debaixo da sua cama… bem longe da internet.

Coments

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *