Caio Abade (*)
O debate sobre Security by Design tem ganhado força no cenário global à medida que ataques cibernéticos se tornam mais sofisticados e frequentes. Empresas e governos têm pressionado fornecedores de tecnologia a garantir que a segurança seja um princípio fundamental no desenvolvimento de produtos e serviços digitais, e não uma preocupação secundária ou corretiva. O objetivo desse movimento é, portanto, reduzir vulnerabilidades estruturais e minimizar a dependência de atualizações emergenciais ou medidas reativas que, muitas vezes, chegam tarde demais.
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA), por exemplo, reforça essa necessidade ao estabelecer que fabricantes de software devem reformular seus processos para entregar produtos seguros desde a concepção. Isso inclui assumir a responsabilidade pelos riscos enfrentados pelos clientes, adotar transparência sobre vulnerabilidades e estabelecer uma cultura organizacional que priorize segurança em todas as fases do desenvolvimento. Esse posicionamento reflete um consenso entre reguladores e empresas de tecnologia ao redor do mundo de que a segurança não pode ser opcional.
Vale destacar, ainda, que, além das perdas financeiras, a ausência de segurança integrada pode comprometer a continuidade dos negócios e gerar impactos regulatórios severos, principalmente diante do fortalecimento da Lei Geral de Proteção de Dados (LGPD).
No Brasil, essa tendência global também se torna urgente. De acordo com o Instituto Nacional de Combate ao Cibercrime (INCC), em 2024, os ataques cibernéticos causaram perdas de R$2,3 trilhões no Brasil, o que representa cerca de 18% do Produto Interno Bruto (PIB). Não à toa, empresas nacionais, principalmente em setores críticos como financeiro, saúde e infraestrutura, precisam se alinhar a essa abordagem para evitar prejuízos financeiros e riscos operacionais.
Entendemos que a transição para um modelo baseado em Security by Design exige mudanças tanto técnicas quanto estratégicas. Dessa forma, organizações precisam repensar seus protocolos de desenvolvimento, implementando princípios como zero trust, segmentação de redes e automação de detecção de ameaças. Além disso, reguladores e líderes empresariais devem estar focados na criação de incentivos e diretrizes que estimulem essa mudança.
O fato é que, mais do que nunca, é imprescindível priorizar a segurança desde o primeiro código escrito. Afinal, no atual cenário, a pergunta não é mais se um ataque acontecerá, mas quando. E, nesse contexto, a única resposta eficaz é estar preparado desde o início.
(*) Cybersecurity Executive da Betta Global Partners.