Proteção desde o princípio

1. Ambiente de produção

Os desenvolvedores não devem ter acesso ao ambiente de produção. Apenas em situações extremas o acesso deve ser concedido. Essa regra também se aplica ao suporte técnico. A necessidade constante de intervenção é um indicador de má qualidade do sistema desenvolvido ou do ambiente básico.

2. Ambiente de teste, homologação

Para se proibir o acesso ao ambiente de produção, é necessário criar condições para que os desenvolvedores e os responsáveis pela estabilidade do sistema computacional executem bem suas funções. A existência de um ambiente de teste e um outro de homologação é a solução ideal. Quanto mais séria for essa regra, mais estável será o sistema elaborado.

3. Acesso aos programas-fonte

Somente os programadores e analistas que são responsáveis pelo desenvolvimento e manutenção de cada sistema devem ser as pessoas autorizadas a terem acesso. Toda entrada deve ser registrada e com possibilidade de ser auditada caso ocorra algum problema.

4. Controle de versão

Cada vez que um programa-fonte sofrer uma série de alterações e for salvo, deve receber um código de versão. Esse procedimento possibilita um maior controle na integridade do texto do software, evitando o uso de versões desatualizadas. Se for possível, o gerenciamento deve ser feito por uma ferramenta que poderá registrar cada modificação realizada. Esse controle deve possibilitar a resposta de duas perguntas: quem e o que foi alterado.

5. Passagem para a produção

A entrada de uma versão nova de programa em produção deve ser controlada. É necessário avaliar se essa alteração vai interagir com o usuário, se ele foi comunicado e treinado e estabeler um procedimento caso a implantação fracasse.

6. Documentação

Um programa deve ter uma documentação de bom nível, que permita que outro programador com as mesmas competências técnicas possa fazer a manutenção desse programa.

7. Padronização

Devem existir padrões a serem seguidos por todos os desenvolvedores, o que facilita o trabalho de manutenção dos programas.

8. Continuidade dos produtos

Quando uma empresa decide comprar produtos prontos, deve estar atenta à continuidade desses itens, no que se refere à existência da empresa e atualização da plataforma tecnológica. Não desenvolver não nos exime de avaliar esse aspecto.

9. Separação de poder

As transações dentro dos programas devem ter poder de uso da informação diferentes, permitindo atribuir aos usuários autorizações distintas. Por exemplo: somente leitura ou leitura e alteração.

10. Cópias de segurança

Os programas- fonte devem ter suas cópias de segurança. Muitas vezes a organização se preocupa apenas com os dados a serem utilizados pelos sistemas e esquecem os mesmos.

As novas plataformas tecnológicas incentivam o não cumprimento dessas recomendações. Colocar uma nova versão em produção ficou muito mais fácil, se compararmos com o ambiente dos grandes sistemas (mainframe). Tratar o assunto segurança de forma profissional, continua sendo o requisito para que a organização tenha o nível de proteção da sua informação compatível com o seu porte e com as características do seu negócio.