No início desta semana, passei um dia com um dos clientes de nossos parceiros de tecnologia na Laboratórios EPI-USE evento do grupo de usuários em Sydney. Parte do dia incluiu uma apresentação de David Powell, gerente geral de estratégia de segurança de TI do National Australia Bank (NAB), sobre a importância da segurança de TI em nível individual e corporativo.

A apresentação foi fascinante e reveladora, para dizer o mínimo.

Por exemplo, David nos disse que, apesar de seus melhores esforços para educar os clientes, 4.000 clientes da NAB divulgam suas credenciais financeiras por meio de e-mails de phishing todos os meses. Cerca de 1 em cada 3.500 e-mails é de portadores de malware. A incidência de malware que rouba informações pessoais bem na nossa frente é inevitável de tempos em tempos.

Na verdade, David mencionou que o malware está se tornando tão sofisticado que a segurança de TI dos bancos teve que se tornar igualmente sofisticada. Foi desenvolvido um software para detectar a diferença entre um movimento real do mouse humano e um movimento produzido por software. Isso identifica a invasão do malware para o cliente antes que ele mesmo se dê conta disso.

Outro risco de segurança é ser levado ao site de seu "suposto" banco. David mencionou que o NAB identifica e fecha mais de 100 sites falsos todos os meses. Na verdade, recebi uma mensagem de texto hoje de manhã pedindo que eu acessasse o site do meu próprio banco para "atualizar meus dados" por meio de um URL duvidoso.

No lado corporativo, e é aí que as coisas começam a ficar complicadas. Em apenas 12 meses, os ataques cibernéticos à infraestrutura de TI do NAB aumentaram de 7 milhões para 12 milhões por mês. Cerca de 1.500 deles passam para a próxima camada. David foi rápido em apontar que aqueles que conseguem passar são identificados e tratados com muita rapidez.

E não para por aí, com milhões de máquinas conectadas ficando on-line com a IoT, novas fontes e pontos de entrada para ataques cibernéticos estão se multiplicando diariamente. David citou um recente ataque de DNS proveniente de uma unidade de ar-condicionado na Bulgária!

A apresentação de David encerrou bem o dia.

Mas o que isso tem a ver com o controle de alterações do SAP?

Na verdade, muitas. Por exemplo, a verificação da vulnerabilidade do código faz parte do seu processo de controle de alterações?

Seja manual ou automatizada, a verificação de vulnerabilidade do código pode ser aplicada como parte do seu processo de controle de alterações do SAP. Ela oferece uma garantia maior de que a infraestrutura de sua própria organização tem menos probabilidade de ser vítima de artimanhas externas.

Por meio de uma integração entre o software de leitura de código, como o Virtual Forge CodeProfiler e a plataforma de automação de controle de mudanças do Rev-Trac, o novo código ABAP pode ser automaticamente verificado e aprovado como "seguro" para assinatura antes que o novo código seja aprovado para avançar para QAS ou PRD. Essa etapa pode ser aplicada a determinados tipos de desenvolvimento para garantir às equipes que essas verificações foram realizadas para todos os novos códigos.

Portanto, duas coisas. Primeiro, considere a necessidade de verificar a vulnerabilidade do código como parte do seu processo de desenvolvimento de código. Segundo, automatize e aplique as verificações por meio de uma combinação de software de verificação de código e software de automação de controle de alterações Rev-Trac.

A verificação regular da vulnerabilidade do código faz parte do seu processo de controle de alterações? Esse é um tópico de discussão? Gostaria muito de saber sua opinião.