Skip to main content Link Menu Expand (external link) Document Search Copy Copied
Página Principal

Segurança da Informação é uma questão de negócios e ela deve ser tratada como tal.

Como o próprio nome sugere, este é um guia introdutório e que pretende auxiliar os profissionais que desejam entender mais sobre o assunto, termos relacionados e precisam de material para aprofundar seus conhecimentos, vide referências, passando um pouco sobre a minha vivência no assunto e bibliografias utilizadas, desde sites até cursos feitos.

Com isso em mente, acredito que inserir a segurança somente em fases pós release ou de entregas do projeto, pode ser mais custoso para o negócio, tanto para solucionar vulnerabilidades descobertas, quanto ao ter que se adaptar às mudanças ou novas necessidades que surjam, aumentando consideravelmente o retrabalho da Engenharia de Software, seja refatorando código, parando o que está fazendo, tratando débito técnico e uma série de complicadores que podem aparecer, gerando muito mais custo seja de tempo, dinheiro, energia do time, prejuízo e até possíveis fraudes.

Além disso, hoje a maioria dos negócios são digitalizados e onde os nossos dados e informações são essenciais para que as empresas criem seus serviços e entreguem seus produtos de forma mais assertiva e customizado, normalmente feito através de softwares, portanto cuidar da segurança desde os dados criados, tratados ou armazenados, até a segurança do software/sistema em produção, se torna tão importante quanto o próprio desenvolvimento do sistema.

Quando falamos em implementar uma esteira de desenvolvimento seguro, uma metodologia ágil de gestão de projetos, tendo o DevOps em foco e posteriormente evoluindo para o DevSecOps, onde acontece a inclusão da segurança, desde a concepção e levantamento dos requisitos, passando pelo design, sempre almejando o ganho de valor, diminuição dos gaps e riscos que o sistema possa ter e um apoio às decisões de negócio e atuação dos times de desenvolvimento.

Comumente, pode haver resistência de outros times, no entendimento do valor de incluir a segurança desde o início, portanto mostrar a todos os envolvidos no projeto, que eles podem adquirir um skill de segurança e se tornar profissionais ainda mais completos, além de perceberem que os Appsecs estão atentos às necessidades e dificuldades que estes times possuem, poderão auxiliar na construção deste programa de segurança.

Entretanto, mudar a maneira de olhar para o desenvolvimento de software e construção de sistemas, complexos ou não, passando pela conscientização e treinamentos, a inclusão da figura do Security Champion (papel que será desempenhado por um profissional que gosta do assunto e tenha interesse de aprender e propagar a cultura e conhecimentos dentro dos times que atua), além de auxiliar os profissionais de segurança na aplicação dos processos e tecnologias, que irão auxiliar na melhoria da segurança, são ganhos para a corporação, que podemos mensurar e trazer como destaque da implementação de uma S-SDLC.

Em complemento a essa mudança/construção de cultura, podemos utilizar a modelagem de ameaças, com o uma poderosa ferramenta que trará visibilidade dos possíveis riscos e ameaças existentes naquele produto, no design e definição da topologia e tecnologia, adequação às leis, regulamentações e auditorias, além da automação auxiliando e incrementando o pentest, realizado pelo Appsec, na busca de possíveis vulnerabilidades e validação que as ameaças encontradas na modelagem de ameaças foram mitigadas ou evitadas.

Ao implementar todos esses passos, treinamento e processos, naturalmente iniciamos a melhoria contínua, das pessoas e times, refletindo diretamente na qualidade e segurança dos produtos entregues, além de uma boa resposta à incidentes (indiferente da natureza destes incidentes) que ocorram durante o uso dos sistemas produtivos.

Mediante o exposto, acredito que todos esses sejam pontos importantes e que devem ser considerados na criação do arcabouço de segurança de aplicações dentro da empresa (sem detrimento de nenhuma outra área da Segurança da Informação corporativa), principalmente incluir as pessoas no processo de criação, ouvir a opinião e entender a visão de todos os papéis envolvidos, desde desenvolvedores, analistas de teste, pessoal de produto e gestão, enfim, todos os interessados no sucesso da entrega, podendo então criar soluções de segurança mais abrangentes e alinhadas às necessidades da Empresa, com a participação de todos na construção e melhoria dos itens entregues.