Sistemas próprios e de terceiros na Sabesp são submetidos a rigorosa análise de código fonte para detectar vulnerabilidades.
A Sabesp, uma das maiores empresas de saneamento básico do mundo, que atende a 367 municípios do Estado de São Paulo, beneficiando mais de 27,7 milhões de pessoas com abastecimento de água e mais de 21,4 milhões de pessoas com coleta de esgotos, contratou os serviços gerenciados para detectar vulnerabilidades e falhas de segurança em aplicações de software durante o desenvolvimento próprio ou de aplicações de terceiros, com a finalidade de garantir a adequação dos sistemas às políticas de Segurança da Informação da companhia e que seguem padrões regulatórios da indústria e legislação imposta às sociedades de economia mista. O projeto é apoiado na utilização da plataforma bugScout.
Criptografia fraca, violação de confiança, erros básicos no código estão entre as principais falhas encontradas e corrigidas.
A infraestrutura de TI da Sabesp é composta por uma grande variedade de sistemas para atender diversos processos internos e externos. No campo, a Internet das Coisas já é aplicada em dispositivos e sistemas que coletam em tempo real os dados sobre serviços de água e esgoto entregues à população, e que envolve a identificação de consumo, alterações ou desvios no padrão de consumo, potencial de vazamento, entre outras inúmeras variantes, produzindo uma grande quantidade de dados que necessitam ser protegidos. Também entram nesta conta os sistemas de gestão administrativa, billing, CRM, controle de ativos, suprimentos, RH e outros, os quais passam pelos testes de vulnerabilidade exigidos pela companhia.
Segundo Daniel Bocalão, gerente de Departamento de Conectividade e Segurança da Informação – (CIC) da Sabesp, a sua área é responsável por um rigoroso acompanhamento da segurança da rede corporativa, dos sistemas e serviços e de informações vitais aos processos de negócios da empresa.
“Com os serviços gerenciados da NalbaTech para a segurança das aplicações elevamos a eficiência do nosso trabalho, o que nos permite atender ao Plano Diretor da Segurança da Informação da companhia”, afirma o executivo.
No desenvolvimento interno de sistemas, a NalbaTech contribui desde o início com o acompanhamento e suporte na utilização da solução bugScout, que faz a detecção de riscos de segurança em todo o ciclo de vida das aplicações de software.
No caso das aplicações de terceiros em operação, a empresa executa a análise de código fonte para detectar possíveis falhas e posterior correção pelo fabricante.
“O trabalho é feito por amostragem, para reduzir tempo e investimento, e posteriormente em toda a aplicação. Os fornecedores são informados sobre os testes antes mesmo da contratação e depois orientados a realizar as correções necessárias. A análise de todo o código fonte da aplicação segue o padrão de utilização destes sistemas dentro da companhia”, explica Bocalão.
As vulnerabilidades mais encontradas
“Mais de 1 mil aplicações já foram analisadas em conjunto com a NalbaTech, sendo que as falhas mais encontradas nas aplicações de terceiros estão relacionadas à exposição de informações sensíveis, criptografia fraca, violação de limites de confiança, erros básicos no código fonte, entre outras. Raramente há no mercado alguma aplicação sem que se encontre uma falha”, revela o executivo. “Costumamos chamar o bugScout de nosso ‘moedor’ de aplicações”, destaca ele.
Aumento da produtividade dos usuários
As vulnerabilidades de segurança não são as únicas identificadas. Com erros nos códigos fontes, muitos sistemas se tornam lentos, impactando consideravelmente na produtividade das redes e equipes. “Percebemos um aumento muito grande na produtividade depois que as aplicações passaram pelas correções orientadas pelo bugScout”, afirma Bocalão. “Com a maturidade no uso da solução bugScout, também melhoramos os nossos processos internos e procedimentos”.
Mudanças profundas
Daniel Bocalão também revela que mudanças também ocorrem nos procedimentos relacionados ao desenvolvimento interno e na aquisição de software no mercado, sendo adicionado nos editais um novo item, informando que “qualquer solução que venha ser contratada terá que passar pelo nosso ‘moedor’, o bugScout. Isso também mexeu com a indústria de software, não importa se o fornecedor tem sua qualidade reconhecida ou não. Ele também vai passar por isso. No final, percebemos este processo todo é bom para a Sabesp e para o fabricante, que poderá melhorar seus produtos para o mercado”.
O apoio do Comitê Gestor
“O trabalho de apoio da NalbaTech e a tecnologia bugScout superam todas as expectativas da direção da Sabesp em todos os quesitos estabelecidos pelo nosso Plano Diretor da Segurança da Informação”, comenta Osvaldo Antonio Pazianotto, CIO da Sabesp.
“A expertise de sua equipe tem apoiado intensamente a companhia em todas as fases, tanto do desenvolvimento, como no trato com as aplicações de terceiros onde a qualidade dos sistemas deve atender aos mais rigorosos padrões de segurança da indústria para a proteção dos dados e qualidade dos serviços. Estamos muito bem apoiados pela alta diretoria da Sabesp para a adoção destes procedimentos. A cada trimestre levamos ao comitê gestor da empresa um relatório com os maiores índices de vulnerabilidades encontrados”, revela ele.