Low Code/No-code X ITGC
Novas Plataformas de desenvolvimento prometem agilizar e flexibilizar a criação de aplicações, exigindo o mínimo possível de codificação; porém, há muitas preocupações sobre algumas questões, principalmente na Segurança.
As plataformas de low-code e no-code trazem uma proposta similar ao WYSISYG (sigla para “What You See Is What You Get”, algo como “O que você enxerga é o que você tem”), mas para o desenvolvimento de aplicações. A proposta é que você use editores e guias visuais para criar um sistema, sem precisar escrever códigos-fonte (no-code) ou que você utilize bases já escritas e prontas para reduzir o tempo gasto com a escrita de códigos-fonte (low-code). Dessa forma, até mesmo quem não sabe nada de programação, pode, de certa forma, programar algo novo.
É inegável que o conceito no-code/low-code possui benefícios e é exatamente por isso que ele tem crescido tanto nas empresas.
Como não é novidade para ninguém, há um certo problema de mão-de-obra qualificada para o setor de TI, logo, com a ajuda de uma plataforma que permite criar uma aplicação por qualquer pessoa, sem necessariamente conhecer de programação, conseguimos contornar essa dificuldade de encontrar bons programadores e recrutá-los para a equipe.
Podemos citar também a agilidade que ganhamos com esses conceitos. Escrever um software “na mão” exige muito uma esteira de desenvolvimento bastante complexa. As plataformas no-code e low-code, acima de tudo, permite que qualquer pessoa desenvolva uma aplicação em um tempo muito menor.
Com reduções tão drásticas nos custos de mão-de-obra e no tempo despendido para produzir uma aplicação, é óbvio que uma ferramenta de no-code ou low-code representa um excelente retorno sobre o investimento (ROI) se compararmos com os métodos tradicionais de desenvolvimento. Mas temos que ter cuidado, pois muitos estão “endeusando” este conceito, o denominando como “a solução do futuro” sem se preocupar com um fator importantíssimo: como fica a questão da segurança e controles de ITGC?
Vou tentar citar alguns pontos:
1 - Ainda não está claro se essas plataformas possuem alguma governança sobre acessos e uso de dados, principalmente sensíveis. As automações e facilidades que são oferecidas por essas ferramenta tornam muito fácil para seus operadores cometerem erros simples na gestão de dados sensíveis. Algumas, por conta de sua estrutura de funcionamento, até mesmo transpõem políticas de prevenção de perda de dados (data loss prevention ou DLP);
Recomendados pelo LinkedIn
2 - As aplicações criadas por essas plataformas não são confiáveis, ainda. Embora muitas ferramentas de no-code e low-code já estejam falando sobre a segurança dos códigos criados, temos que pensar que esse ainda é um conceito muito novo e que possui um longo caminho a percorrer;
3 - É difícil manter uma operação de AppSec na arquitetura low-code e no-code. Como, na maioria das vezes, não possuímos acesso ao código , é difícil realizar auditorias e garantir que a aplicação final seja robusta e confiável. Isso pode ser problemático sobretudo na hora de garantir conformidade. Ou seja, é quase impossível proteger algo que não possuímos visibilidade. Este conceito ainda não combina com metodologias como DevSecOps, por exemplo.
Algumas dicas abaixo podem ser interessantes:
Embora os usuários da plataforma possam não ser desenvolvedores ou profissionais de segurança de profissão, eles devem entender as implicações de segurança das plataformas e aplicativos low-code e no-code que estão usando e criando.
O objetivo deste texto não é demonizar as plataformas de low-code e no-code. No fim das contas, é prudente colocar na ponta do lápis os riscos e os benefícios de utilizar essa novidade tecnológica. Há casos e casos, e tudo depende do perfil da empresa, suas necessidades para prosseguir em sua jornada de digitalização.