A ascensão dos desenvolvedores cidadãos, impulsionada por plataformas low-code e no-code, representa uma transformação profunda na maneira como as aplicações são criadas. Indivíduos sem formação tradicional em programação, mas com profundo conhecimento de seus domínios de atuação, estão cada vez mais capacitados a construir soluções digitais para otimizar processos e resolver problemas específicos. Essa democratização da tecnologia é inegavelmente positiva, abrindo portas para a inovação e a agilidade dentro das organizações.

No entanto, essa nova realidade também traz consigo desafios significativos, especialmente no que tange à segurança das aplicações. A ideia de que o treinamento em segurança cibernética, por si só, será suficiente para mitigar os riscos associados aos desenvolvedores cidadãos é, no mínimo, ingênua. A complexidade das ameaças digitais e a velocidade com que elas evoluem exigem uma abordagem mais abrangente e sofisticada.

A Lacuna da Segurança em Ambientes No-Code

Plataformas no-code, embora poderosas e intuitivas, muitas vezes carecem de mecanismos de segurança robustos e integrados. A facilidade de uso, que é um dos seus principais atrativos, pode levar a erros de configuração e vulnerabilidades que seriam prontamente identificadas por um desenvolvedor experiente. A falta de familiaridade com os princípios da Arquitetura Orientada a Serviços (SOA) e outras práticas recomendadas de desenvolvimento seguro pode expor as aplicações a ataques e comprometer dados sensíveis.

O treinamento em segurança, embora essencial, tem suas limitações. É irreal esperar que um profissional de marketing, por exemplo, que dedica parte do seu tempo a criar uma aplicação no-code, se torne um especialista em cibersegurança da noite para o dia. Além disso, o conhecimento adquirido em treinamentos tende a ser esquecido com o tempo, especialmente se não for aplicado regularmente.

A Necessidade de Soluções AppSec Dedicadas

A solução para o problema da segurança dos desenvolvedores cidadãos reside na adoção de soluções Application Security (AppSec) dedicadas, que sejam projetadas especificamente para ambientes low-code e no-code. Essas soluções devem ser capazes de automatizar a identificação de vulnerabilidades, fornecer orientações claras e contextuais para os desenvolvedores e garantir a conformidade com as políticas de segurança da organização. Ferramentas de análise estática de código (SAST) e análise dinâmica de código (DAST) (para entender mais sobre elas, veja este artigo da Veracode https://www.veracode.com/pt-br/security/static-dynamic-analysis) adaptadas para esses ambientes podem ser de grande valia.

Uma Cultura de Segurança Compartilhada

Além de soluções AppSec, é fundamental promover uma cultura de segurança compartilhada dentro das organizações. Isso envolve a criação de políticas de segurança claras e acessíveis, a oferta de suporte contínuo aos desenvolvedores cidadãos e a realização de auditorias regulares para identificar e corrigir vulnerabilidades. A colaboração entre as equipes de segurança e de desenvolvimento é essencial para garantir que as aplicações criadas pelos desenvolvedores cidadãos estejam protegidas contra ameaças.

Em suma, a ascensão dos desenvolvedores cidadãos é uma tendência poderosa que pode trazer inúmeros benefícios para as organizações. No entanto, é crucial reconhecer que o treinamento em segurança, por si só, não é suficiente para mitigar os riscos associados a essa nova realidade. A adoção de soluções AppSec dedicadas e a promoção de uma cultura de segurança compartilhada são passos essenciais para garantir que as aplicações criadas pelos desenvolvedores cidadãos sejam seguras e confiáveis. O futuro da inovação digital depende da nossa capacidade de equilibrar agilidade e segurança.