Em Dezembro de 2024, The Cyber Resilience Act (CRA) Entrou em vigor na Europa, marcando o início do período de transição para organizações e empresas se adaptarem aos novos requisitos de segurança cibernética. Este documento regulatório tem como objetivo aprimorar os padrões de qualidade e segurança, exigindo que fabricantes e varejistas suporte e atualizem componentes digitais durante todo o ciclo de vida de seus produtos. O CRA cobre hardware e software, afetando não apenas os fabricantes da UE, mas também os importadores, portanto, as empresas americanas que operam ou vendem seus produtos nos países da UE também serão afetadas. A legislação impactará profundamente vários segmentos de mercado, como os produtos da Internet das Coisas. Embora as empresas tenham até 2027, quando as obrigações de conformidade se tornarem obrigatórias, o CRA marca um passo importante para reconhecer a importância da segurança cibernética para uma grande gama de produtos e criar estruturas que protegerão os interesses dos clientes finais. Anton Snitavets, engenheiro de segurança da informação da Doumo, membro sênior do IEEE, um membro da comunidade Hackathon Raptors e um profissional certificado de sistemas de segurança da informação, explica o que a abordagem moderna da segurança cibernética implica e quais fatores as empresas devem levar em consideração para proteger seus clientes e a si mesmos.
A mudança em direção a uma abordagem integrada
Anton Snitavets ressalta que a segurança cibernética se tornou parte integrante de suas operações para mais negócios, não apenas algumas medidas de proteção ou regras de segurança impostas aos processos existentes. Isso é particularmente verdadeiro para empresas especializadas em desenvolvimento de software. Anton encontrou uma questão semelhante em 2017, quando começou a trabalhar na Aras Corp como engenheiro de DevSecops. Para melhorar o processo de desenvolvimento de software, ele implementou o Secure Software Development Lifecycle (SSDLC), que tornou o processo de desenvolvimento de software significativamente mais seguro, adicionando novos meios de detecção e eliminação de riscos de segurança cibernética antes que eles levem a consequências negativas. Ele integrou as soluções de software existentes junto com as personalizadas que ele se desenvolveu, tornando o processo de desenvolvimento de software mais produtivo e confiável. Especificamente, ele melhorou o processo de desenvolvimento de atualizações do software ARAS Innovator, uma solução de gerenciamento de produtos de engenharia usada por clientes da ARAS, com grandes empresas de engenharia, como General Motors e Airbus entre eles. Como resultado, dentro de 3,5 anos, ele aumentou significativamente a qualidade do produto, eliminou várias vulnerabilidades no software e aumentou sua estabilidade e segurança, o que é especialmente importante para uma solução de software usada para tarefas complexas de engenharia. Depois de ingressar na Doumo recentemente, ele está implementando abordagens semelhantes como um engenheiro de segurança da informação principal, trabalhando na integração do SSDLC à infraestrutura em nuvem.
““O fato de que mais empresas, semelhantes às duas mencionadas acima, concentram um esforço significativo em tornar os processos de desenvolvimento mais seguros, destaca que, para que as medidas de segurança sejam eficientes, elas precisam se tornar parte integrante do ciclo de desenvolvimento de software, ” Ele comenta. “As empresas que ainda não implementaram essa abordagem precisarão aprender para aplicá -la ao longo do ciclo de vida do desenvolvimento”.
Desenvolvimento de soluções personalizadas
Essa mudança em direção a uma abordagem mais integrante da segurança da informação leva a outra mudança significativa. As empresas devem desenvolver soluções personalizadas que atendam às suas necessidades com precisão, em vez de confiarem em prontamente criadas. “As soluções prontas não costumam cobrir todos os casos e cenários, deixando de fora as vulnerabilidades específicas desprotegidas ou, inversamente, desperdiçando recursos da empresa em medidas que não são necessárias em um caso específico”, explica Anton Snitavets. “É por isso que as empresas precisam de soluções que sejam responsáveis pelas especificidades de suas operações e riscos comuns relacionados”. Sua experiência fornece exemplos suficientes de por que o desenvolvimento de soluções personalizadas e a responsabilidade de situações e ameaças específicas é essencial, pois melhora o processo de desenvolvimento e torna o produto mais seguro para o usuário final. Na AAS Corp, ele desenvolveu e implementou uma solução para análise de código que permitia aos desenvolvedores detectar vulnerabilidades, como injeções de SQL e riscos de travessia de caminho no código do produto, bem como vulnerabilidades específicas para um produto específico. Depois que o analisador foi implementado, várias dezenas de vulnerabilidades foram detectadas e fixadas. Além disso, a implementação do analisador tornou o produto mais seguro e seguro para os usuários finais desenvolverem soluções personalizadas, permitindo que eles detectem e resolvam riscos potenciais nos estágios iniciais do desenvolvimento.
Anton Snitavets menciona mais que as empresas conceituais críticas terão que adotar: elas terão que se concentrar na prevenção de ameaças e agir proativamente, em vez de se concentrar apenas em se proteger de ameaças conhecidas e responder a violações que já aconteceram. Para atingir esse objetivo, é necessário um sistema flexível de análise e relatórios, o que permitirá à empresa monitorar o estado atual da infraestrutura, prever e detectar riscos potenciais e eliminá -los antes de causar perdas. Esse é o tipo de trabalho que Anton Snitavets conduzido na Jabil Inc., onde trabalhou como engenheiro de segurança em nuvem de 2022. Para melhorar a postura de conformidade de segurança na empresa, ele desenvolveu uma estrutura de relatório original para serem prontamente informados sobre o estado de segurança de os recursos da nuvem. Para fazer isso, ele adaptou os padrões de segurança existentes. Ele integrou uma solução de software para agregar dados sobre o estado das informações da nuvem que tiveram um papel crucial nas operações da empresa, ajudando a manter sua classificação de conformidade de segurança no nível mais alto possível.
A necessidade de aprendizado contínuo
É importante acrescentar que a tecnologia está constantemente avançando e, juntamente com novas medidas de proteção, surgem novas ameaças. “Embora os profissionais de segurança cibernética desenvolvam maneiras novas, mais robustas e resistentes de proteger dados e garantir as operações estáveis da infraestrutura digital, os atores mal -intencionados encontram novos vetores de ataque, tentando usar a tecnologia emergente em seu proveito”. Explica Anton Snitavets. É por isso que é necessário que um profissional de segurança cibernética aprenda continuamente, tanto em teoria quanto na prática, explorando novos métodos e soluções e encontrando maneiras eficientes de aplicá -las às tarefas em questão.
Ao longo de sua carreira, Anton Snitavets seguiu esse princípio. Mesmo estudando, ele começou a trabalhar como desenvolvedor de software, ganhando experiência que forneceu uma base sólida para sua futura carreira. Ele então trabalhou continuamente na aquisição de certificações profissionais, incluindo o Certified Information Systems Security Professional (CISSP), que é considerado uma das certificações de segurança cibernética mais desafiadoras a serem obtidas.
“EUÉ importante combinar certificações formais de aquisição, que comprovam as habilidades profissionais do indivíduo, com uma exploração constante de tecnologias emergentes e colocando em prática o conhecimento adquirido recém -adquirido ”. Explica Anton Snitavets. “Tornar -se um especialista em segurança cibernética requer alta dedicação e disciplina porque o custo dos erros pode ser significativo.
É preciso avançar constantemente e agir proativamente para implementar processos eficientes de segurança da informação. Novas medidas regulatórias, como o CRA, pressionarão as empresas a adotarem melhores práticas de segurança. No entanto, mesmo antes de se tornarem obrigatórios, as empresas devem avançar sua abordagem à segurança cibernética para proteger a si e a seus clientes contra ameaças emergentes. ““
