O modelo de desenvolvimento de aplicações Low-code, segundo o Gartner, deve movimentar 27 bilhões de dólares até o fim deste ano — um avanço de quase 20% em comparação a 2022 — e deve manter esse ritmo até 2026. Mais: até 2024, 65% das aplicações desenvolvidas em âmbito global serão baseadas nessa abordagem — e isso inclui soluções mais sofisticadas, com recursos de Inteligência Artificial (AI) e Machine Learning (ML). Produzir mais e mais rápido suscita, legitimamente, a reflexão sobre a segurança cibernética dessa estratégia.
Se, por um lado, tal abordagem faz com que empresas e organizações se tornem mais aptas a construir aplicativos que atendam aos aspectos específicos de cada setor, por outro, como em qualquer outra estratégia PRO-CODE e NO-CODE, mantém a necessidade de cuidar muito bem da segurança cibernética — e mitigar riscos como exposição destruição, roubos e vazamentos de informações ou dados por meio de acessos não autorizados. Os principais ataques cibernéticos incluem malwares, ransomwares, phishing, e negação de serviço (DoS).
A escolha do parceiro low-code
Conhecer seu fornecedor é essencial para garantir disponibilidade, escalabilidade e, claro, segurança da plataforma. Na Nexmuv, optamos pela OutSystems para projetos e serviços baseados em Low-code.
Aplicativos web e móveis desenvolvidos com a OutSystems são protegidos, por padrão, contra as principais ameaças de segurança identificadas pelo OWASP. Além disso, a abordagem Low-code da OutSystems também acelera a segurança de aplicativos da seguinte forma:
- cada atualização da plataforma incorpora automaticamente os recursos de segurança mais recentes em todos os seus aplicativos;
- os componentes pré-construídos simplificam as tarefas relacionadas à segurança, como criptografar dados em repouso ou integrarem-se com sistemas de gestão de identidade;
- o acesso baseado em funções garante o padrão de permissões para os membros da equipe;
- a cada versão, o código gerado é avaliado quanto a vulnerabilidades, usando ferramentas de análise de código estático.
Além disso, tanto os processos internos como a plataforma de desenvolvimento Low-code da OutSystems são certificados em uma vasta gama de padrões de segurança e controle do mercado, tais como:
- GDPR
- HIPAA
- ISO 22301
- ISO 27001
- ISO 28001SoA
- ISO 27017
- ISO 27018
- ISO 9001
- PCI-DSS
- SOC 2
Princípios de segurança integrados importantes na estratégia low-code
Muito bem —a abordagem Low-code acelera a entrega e a jornada digital em empresas e organizações. O fato, porém, é que a abordagem de segurança precisa ficar em pauta, em níveis adequados às necessidades e demandas do negócio, desde a escolha da plataforma — e o início do processo de desenvolvimento. Aqui estão alguns fatores importantes que devem ser considerados nesse sentido:
Autenticação e autorização para garantir que apenas usuários autorizados acessem e realizem operações, tanto na plataforma quanto nos aplicativos desenvolvidos.
Criptografia de dados para garantir que os dados, em repouso e em trânsito, estejam protegidos por meio de modelos fortes de criptografia.
Gestão de vulnerabilidades, ou melhor, realização periódica de análises de código e testes de segurança para identificar e reparar suscetibilidades em potencial.
Adesão das equipes de TI e de segurança, já que a inclusão da liderança de TI e de segurança na tomada de decisões e implementação da plataforma Low-code possibilita a obtenção de importantes conhecimentos sobre fornecedores, certificações e padrões do setor, vulnerabilidades e políticas. Além disso, garantirão que você está fazendo o melhor investimento para as necessidades contínuas de sua empresa.
Pesquisar os requisitos do fornecedor, ou seja, deve-se solicitar a documentação de testes e certificações de segurança, bem como aprender sobre os controles operacionais e de segurança que estejam implementados na solução.
Estabelecimento de cultura de segurança, uma vez que todas as políticas nesse sentido, bem como as regras de governança e melhores práticas devem ser impostas em toda a organização. A adoção de práticas de segurança reduz as chances de violações decorrentes de erros dos usuários.
Modelagem de risco, já que antes da implementação de uma plataforma, o time de TI deve analisar todos os pontos de entrada, identificar possíveis ameaças e verificar se o design não apresenta riscos significativos.
Análise de código estático para detectar erros que podem interagir com origens externas — e que não se alinham aos padrões de segurança do setor.
Testes de vulnerabilidade, nos quais os profissionais de segurança cibernética procuram pontos de acesso que poderiam ser usados por hackers para comprometer aplicativos e dados.
Controle de acesso, visto que é crucial limitar o uso não autorizado desde o início. Por isso, deve-se verificar se a plataforma escolhida oferece opções para controlar quem pode acessar sua plataforma, quais atividades podem ser executadas e o que pode ser compartilhado dentro e fora da empresa. Se for o caso, implementar modelos de controle de acesso baseados em funções (RBAC) ou atributos (ABAC) para garantir que os usuários tenham permissões adequadas às suas necessidades e responsabilidades.
Hospedagem, já que é muito importante identificar onde a plataforma hospeda os dados (na nuvem ou on-premises, por exemplo) para garantir sua segurança — e se poderão ser restaurados caso seja necessário. Ainda que a organização disponha de equipes de TI e de segurança internas, é de suma importância analisar o contrato de licença para descobrir quem deve ser contatado caso o fornecedor precise resolver problemas de segurança.
Conclusão
Finalmente, pode-se afirmar que a atenção às práticas de segurança no desenvolvimento Low-code é mais do que uma necessidade técnica — na verdade, representa uma estratégia empresarial essencial.
Nesse sentido, as plataformas mais básicas de Low-code podem não ser suficientes, especialmente se estiverem lidando com setores altamente regulamentados, como finanças e saúde. Assim, é necessário garantir que a plataforma de desenvolvimento esteja em conformidade com determinadas regulamentações.
Na hora da escolha, é preciso pensar que existe diferença em ter uma plataforma Low-code regular e Low-code de alto desempenho — como a OutSystems, com a qual a Nexmuv mantém parceria. E a segurança é um dos principais diferenciais entre esses dois grupos.