.
Comente Há uma linha no último apelo da CISA – a agência de segurança cibernética do governo dos EUA – aos desenvolvedores de software para que façam um trabalho melhor ao escrever códigos seguros que podem fazer você cuspir seu café.
Jack Cable, consultor técnico sênior da CISA, escreve que em 2019, quando era estudante de ciência da computação na Universidade de Stanford, na Califórnia, não precisou fazer nenhum curso de segurança cibernética para se formar. Isso, diz ele, era verdade para estudantes de 23 das 24 melhores escolas de ciência da computação dos Estados Unidos.
Quase cinco anos depois, “a lista das 24 melhores universidades em ciência da computação não mudou: 23 ainda não exigem segurança cibernética”, escreveu Cable em seu memorando.
Deixe o café cuspir.
A Universidade da Califórnia, em San Diego, para constar, é a única escola entre as 24 melhores com um programa de ciência da computação e engenharia que lista a segurança como um requisito de graduação, embora não esteja claro se esse é realmente o caso no currículo da faculdade.
“A segurança cibernética é vista como uma subdisciplina, assim como os gráficos ou a interação humano-computador – e não um conhecimento essencial com o qual todo futuro desenvolvedor de software deveria estar equipado ao ingressar no mercado de trabalho”, lamenta Cable. “Isso é inaceitável. Com muita frequência, os ataques exploram fraquezas simples que qualquer desenvolvedor com conhecimento básico de segurança poderia ter evitado.”
Concordamos plenamente. Claro, ciência da computação não é engenharia, e você pode argumentar que a engenharia é um lar mais natural para codificação prática e segura. Transformar um algoritmo abstrato em uma rotina de software segura ou escrever um serviço que não confie cegamente na entrada do usuário, por exemplo, é um problema de nível de implementação para engenheiros. Entendemos.
Mas dane-se, esta situação é insustentável. Coloque segurança em seu currículo compsci para o bem dos novos desenvolvedores e das pessoas que usam seu código.
Neste momento, a escassez de competências em segurança da informação já é notícia velha, e vozes tanto nos setores público como privado apelaram aos programadores para controlarem as vulnerabilidades nas suas cadeias de fornecimento de software. Até mesmo a Estratégia Nacional de Cibersegurança da Casa Branca apela à responsabilização dos fabricantes de aplicações por falhas de segurança nos seus produtos, o que, por um lado, necessitará de melhor formação para os programadores.
Mas se as faculdades e universidades não exigem que os estudantes de ciência da computação tenham aulas de segurança da informação antes de serem contratados por essas empresas, temos um problema real. É algo que contribuirá para a desconexão entre executivos e desenvolvedores de segurança – sem mencionar a ameaça cada vez maior de ransomware e outros ataques cibernéticos destrutivos.
Um dos motivos da falta de cursos, segundo a CISA, é que o setor privado não exige essas competências nas contratações de desenvolvedores. Em setembro, a agência organizou um workshop centrado nos desafios da incorporação da segurança nos currículos de ciências da computação, e um dos obstáculos identificados foi a falta de demanda.
“Até o momento, as empresas não expressaram que a segurança é um dos principais fatores que avaliam ao contratar desenvolvedores de software”, escreveu Cable. “Até que isso mude, as universidades têm pouco incentivo para mudar as suas práticas.”
Mas: aqui está uma chance de fazer algo sobre isso. No mês passado, a CISA publicou um Pedido de Informação sobre o papel da segurança no ensino da ciência da computação. As respostas deverão ser entregues em 20 de fevereiro e ficaremos de olho no que surgir. ®
.
