Country
Language

poland Poland

portugal Portugal

netherlands Netherlands

0
    0
    Your Cart
    O carrinho está vazio

    O que é uma Análise de Risco Tecnológico (TRR)?

    18 08
    2022

    O que é uma Análise de Risco Tecnológico (TRR)?

    Author: Roman Buczyński

    Roman BuczyńskiNa ITDS desde Outubro de 2021. Atualmente a trabalhar na equipa de engenharia da Goldman Sachs SFL como engenheiro DevOps / SRE. A fornecer uma constante disponibilidade de serviço, estabelecer novas implementações e apoiar os programadores nas tarefas diárias.

    O que é uma Análise de Risco Tecnológico?

    Quando uma empresa pretende garantir que todas as suas aplicações/serviços estão seguras e em conformidade, aderindo às normas estabelecidas pela empresa, pode implementar um procedimento de Análise de Risco Tecnológico. A Análise de Risco Tecnológico é uma série de regulamentações relacionados com uma série de questionários e reuniões de análise que fazem perguntas e guiam a aplicação para estar em conformidade com os protocolos estabelecidos.

    Estes podem incluir:

    • ameaças à segurança, como restrições de acesso, vulnerabilidades de código, fugas de dados,
    • ameaças de registo – os registos das aplicações podem conter dados restritos / informações de depuração como senhas / conteúdos de bases de dados ou outras informações que devem ser controladas,
    • ex(t=p) uso intensivo de recursos,
    • Ameaças de infraestruturas (abertura de portas, adição de serviços de baixa segurança).

    Porque não gostamos das Análises Tecnológicas?

    As análises de risco tecnológico podem ser um procedimento moroso e aparentemente desnecessário que requer muita cooperação com a equipa TR, esforços de documentação, por vezes até redesenhar algumas partes da aplicação. Isto requer esforço e tempo, tempo que – especialmente aos olhos dos developers – pode considerar-se desperdiçado em algo mais do que a criação de código da aplicação.

    Uma lista de perguntas difíceis de responder, uma série de reuniões online ou presenciais, que dão origem a ainda mais perguntas e assim por diante…Está a compreender a ideia.

    Não é incomum que necessite de preparar um documento de design mais extenso do que o já existente, talvez incluir um ou dois diagramas, ou até reunir mais backup sob a forma de contributos dos seus colegas para responder a algumas perguntas.

    Como é que é?

    Pode ser um desafio. Sugiro que não enfrente isto sozinho, a maior parte das vezes a equipa de Risco Tecnológico está bem preparada, armada com muitas perguntas de casos restritos, perguntando sobre detalhes que talvez não tenha pensado antes. Não tenha medo disso, seja o que for que não possa responder imediatamente, ou que seja incerto – tome notas e peça-lhes que esperem pelas respostas quando as receber. Isto não é motivo de vergonha, é parte do processo.

    Leia mais sobre o lado humano do negócio das Fintech: Combinando o desenvolvimento de software com a análise empresarial

    Que benefícios tem uma Análise de Risco Tecnológico?

    Como mencionado anteriormente, o processo pode levantar questões sobre as quais não pensou e às quais não conhece respostas – o que é uma coisa boa, pois aumenta o seu conhecimento da própria aplicação, da infra-estrutura, do ambiente da aplicação (outras interacções entre aplicações), bem como dá-lhe a certeza de que o serviço está em conformidade com as normas e políticas atuais da empresa. Dá-lhe o benefício de sentir que criou uma aplicação segura, mas também dá à equipa TR e à própria empresa a garantia de que se enquadrará na empresa e não causará qualquer dano, pelo menos até ao ponto em que tais situações possam ser previstas.

    Como começar a realizar Análises de Risco Tecnológico?

    Idealmente, seriam necessários alguns componentes importantes:

    • Políticas estabelecidas da empresa relativamente a interações de microsserviços / segurança de dados / políticas de comunicação / autorização e autenticação, outras conforme necessário
    • Pessoal treinado para realizar análises, pessoas que entendem de segurança e pensam fora da caixa para poderem fazer perguntas corretas, pelo menos até que se prepare uma documentação para análises que se adequem à empresa.
    • Ferramentas de software para fazer testes apropriados / pentestesting / outros – dependendo da aplicação.
    ITDS_2022_ESTRATÉGIA
    Press Releases

    ITDS_2022_ESTRATÉGIA

    17 03
    2022