A plataforma BugScout, desenvolvida pela Nalbatech, tem sido parceira da equipe de segurança da informação da companhia de saneamento básico Sabesp, que atende mais de 300 municípios no Estado de São Paulo. A ferramenta detecta vulnerabilidades e falhas de segurança em aplicações de software durante desenvolvimento próprio ou de aplicações de terceiros, para garantir a adequação dos sistemas às políticas da companhia.
Desde 2014, quando o projeto foi iniciado, qualquer novo sistema que entra no data center da companhia é submetido a uma rigorosa análise de código fonte para detectar vulnerabilidades. Mais de 1 mil aplicações já foram analisadas e as falhas mais encontradas nas aplicações de terceiros estão relacionadas à exposição de informações sensíveis, criptografia fraca, violação de limites de confiança e erros básicos no código fonte. Daniel Bocalão, gerente de Departamento de Conectividade e Segurança da Informação – (CIC) da Sabesp, explica que o projeto foi iniciado há quatro anos com uma primeira versão que avaliava apenas requisitos de segurança. No final do ano passado, com uma atualização, a ferramenta passou a analisar também qualidade e performance de cada nova aplicação.
“Qualquer solicitação de melhoria de módulo do sistema que surge por conta de uma regulação ou lei, por exemplo, passa pela solução”, comenta o executivo, em entrevista à Computerworld Brasil.
A infraestrutura de TI da Sabesp é composta por uma considerável variedade de sistemas para atender diversos processos internos e externos. Nas operações de campo, dispositivos de internet das coisas (IoT) coletam em tempo real os dados sobre serviços de água e esgoto entregues à população, e que envolve a identificação de consumo, alterações ou desvios no padrão de consumo, potencial de vazamento, entre outras inúmeras variantes, produzindo uma grande quantidade de dados que necessitam ser protegidos. Ainda, a companhia conta com sistemas de gestão administrativa, como billing, CRM, controle de ativos, suprimentos e RH – todos passam pelos testes de vulnerabilidade exigidos pela companhia.
Bocalão comenta que a principal vantagem é saber dos riscos antes da produção. “Conseguimos antecipar as vulnerabilidades e corrigir ainda no momento do desenvolvimento. Os resultados são intangíveis, pois conseguimos mostrar para o fornecedor que ele está vulnerável e evitamos problemas no futuro. O sentimento é que estamos mais seguros”, completa.