O que é uma Análise de Risco Tecnológico (TRR)?

Roman Buczyński – Na ITDS desde Outubro de 2021. Atualmente a trabalhar na equipa de engenharia da Goldman Sachs SFL como engenheiro DevOps / SRE. A fornecer uma constante disponibilidade de serviço, estabelecer novas implementações e apoiar os programadores nas tarefas diárias.

O que é uma Análise de Risco Tecnológico?

Quando uma empresa pretende garantir que todas as suas aplicações/serviços estão seguras e em conformidade, aderindo às normas estabelecidas pela empresa, pode implementar um procedimento de Análise de Risco Tecnológico. A Análise de Risco Tecnológico é uma série de regulamentações relacionados com uma série de questionários e reuniões de análise que fazem perguntas e guiam a aplicação para estar em conformidade com os protocolos estabelecidos.

Estes podem incluir:

• ameaças à segurança, como restrições de acesso, vulnerabilidades de código, fugas de dados,
• ameaças de registo – os registos das aplicações podem conter dados restritos / informações de depuração como senhas / conteúdos de bases de dados ou outras informações que devem ser controladas,
• ex(t=p) uso intensivo de recursos,
• Ameaças de infraestruturas (abertura de portas, adição de serviços de baixa segurança).

Porque não gostamos das Análises Tecnológicas?

As análises de risco tecnológico podem ser um procedimento moroso e aparentemente desnecessário que requer muita cooperação com a equipa TR, esforços de documentação, por vezes até redesenhar algumas partes da aplicação. Isto requer esforço e tempo, tempo que – especialmente aos olhos dos developers – pode considerar-se desperdiçado em algo mais do que a criação de código da aplicação.

Uma lista de perguntas difíceis de responder, uma série de reuniões online ou presenciais, que dão origem a ainda mais perguntas e assim por diante…Está a compreender a ideia.

Não é incomum que necessite de preparar um documento de design mais extenso do que o já existente, talvez incluir um ou dois diagramas, ou até reunir mais backup sob a forma de contributos dos seus colegas para responder a algumas perguntas.

Como é que é?

Pode ser um desafio. Sugiro que não enfrente isto sozinho, a maior parte das vezes a equipa de Risco Tecnológico está bem preparada, armada com muitas perguntas de casos restritos, perguntando sobre detalhes que talvez não tenha pensado antes. Não tenha medo disso, seja o que for que não possa responder imediatamente, ou que seja incerto – tome notas e peça-lhes que esperem pelas respostas quando as receber. Isto não é motivo de vergonha, é parte do processo.

Leia mais sobre o lado humano do negócio das Fintech: Combinando o desenvolvimento de software com a análise empresarial

Que benefícios tem uma Análise de Risco Tecnológico?

Como mencionado anteriormente, o processo pode levantar questões sobre as quais não pensou e às quais não conhece respostas – o que é uma coisa boa, pois aumenta o seu conhecimento da própria aplicação, da infra-estrutura, do ambiente da aplicação (outras interacções entre aplicações), bem como dá-lhe a certeza de que o serviço está em conformidade com as normas e políticas atuais da empresa. Dá-lhe o benefício de sentir que criou uma aplicação segura, mas também dá à equipa TR e à própria empresa a garantia de que se enquadrará na empresa e não causará qualquer dano, pelo menos até ao ponto em que tais situações possam ser previstas.

Como começar a realizar Análises de Risco Tecnológico?

Idealmente, seriam necessários alguns componentes importantes:

• Políticas estabelecidas da empresa relativamente a interações de microsserviços / segurança de dados / políticas de comunicação / autorização e autenticação, outras conforme necessário
• Pessoal treinado para realizar análises, pessoas que entendem de segurança e pensam fora da caixa para poderem fazer perguntas corretas, pelo menos até que se prepare uma documentação para análises que se adequem à empresa.
• Ferramentas de software para fazer testes apropriados / pentestesting / outros – dependendo da aplicação.