MINIMUM VIABLE APPLICATION SECURITY AND CONTROLS: A case study in the Pharmaceutical sector

A tranformação digital é actualmente uma área de extrema importância para qualquer negócio em qualquer indústria, colocando 3 tópicos na lista de preocupações de um CEO ou CFO, sendo eles: confiança, imagem e risco. Passar e manter uma imagem de marca credível, é a base para ganhar clientes e a confiança dos accionistas. Para ganhar vantagem competitiva, as empresas tendem a utilizar aplicações para impulsionar a inovação, estando a maioria delas ligada à internet. É neste contexto que a segurança de aplicações ganha maior relevância, na medida em que deve ser incorporado nas primeiras fases de desenvolvimento de software, instalação de hardware e desenho de processos, de forma a proteger as aplicações de ameaças externas. Qualquer organização que tente lançar um produto, sendo uma organização em fase de arranque ou uma organização já implementada no mercado, os programadores foram provavelmente aconselhados a construir um "MVP" - um produto mínimo viável - tal como promovido pela metodologia Lean. Isto significa: produtos a serem desenvolvidos o mais rápido possível, oferecendo um número mínimo de características necessárias para a funcionalidade do produto. Muitas vezes, a segurança não é uma das características no produto inicial, sendo posteriormente esquecida durante as seguintes fases do projecto. Face a isto e depois de procurar sem sucesso no mercado, uma metodologia e uma ferramenta que os programadores de software pudessem começar a utilizar como guia na execução do seu trabalho diário, que este projecto se inicia. Uma equipa foi criteriosamente constituída para elaborar uma metodologia que iria orientar os programadores de software na incorporação das características de segurança, desde a fase de levantamento de requisitos até à fase de entrega do produto final, seguindo uma metodologia de investigação qualitativa. Em paralelo desenvolveu-se uma ferramenta que permite a monitorização da maturidade da segurança em cada projecto ou aplicação. Para a equipa de gestão, os resultados alcançados servem de base para a criação de planos de segurança e/ou a criação de programas de formação, uma vez que permite identificar facilmente lacunas e padrões nas diferentes partes da cadeia de desenvolvimento ou áreas de negócio que necessitem de formação extra.