Existem duas principais razões pelas quais a sua empresa deve tornar a cibersegurança sua prioridade. A primeira delas é considerar as penalidades que a empresa poderá sofrer se ocorrer um vazamento de dados, causando uma infração legal ou não conformidade com as certificações existentes. Pense nas principais normas que envolvem o manuseio de dados, como a GDPR, a LGPD e o PCI-DSS. Não estar em conformidade com qualquer uma dessas certificações pode custar muito, e não apenas em termos financeiros.
A segunda razão são os danos à reputação da empresa e continuidade do negócio. Você provavelmente não confiaria em uma empresa ou em um aplicativo conhecido por suas falhas de segurança, e a maior parte das pessoas também não confiam. É conhecido que a maior parte dos problemas de segurança de uma empresa estão nas vulnerabilidades de sistemas desenvolvidos internamente ou delegados para fábricas de software.
Em um cenário tão complexo como esse, como as empresas podem fazer uma gestão de segurança de aplicações sem renunciar a agilidade?
Uma das recomendações da gestão de segurança de aplicações é incluir os requisitos de segurança da informação o mais cedo possível no ciclo de desenvolvimento do software, como explicamos em detalhes neste guia completo para implementação do Security by Design. Neste contexto, o OWASP ASVS é uma das ferramentas que permite estabelecer critérios de segurança para as aplicações da organização com base em sua função e criticidade para o negócio.
Este artigo explica como os controles apresentados pelo OWASP ASVS podem ser implementados dentro de uma gestão de segurança de aplicações e quais benefícios essa combinação pode trazer para o seu negócio.
Siga a leitura e baixe nosso checklist da OWASP ASVS para verificar se os requisitos de segurança de sua aplicação estão aderentes à função de negócio que desempenha.
Nesse artigo falamos sobre:
O OWASP ASVS (Application Security Verification Standard) é um padrão desenvolvido pela OWASP que contempla uma lista de requisitos e controles de segurança de aplicações a fim de garantir que os controles tenham sido implementados durante o ciclo de desenvolvimento.
O OWASP ASVS pode ser utilizado por arquitetos, desenvolvedores, times de appsec, security champions, pentesters e fornecedores de software para definir, criar, testar e verificar os aplicações seguras como parte de uma estratégia de gestão de segurança de aplicações. A versão atual do padrão é 4.01 atualizada em março de 2019. O projeto OWASP ASVS está em execução há mais de 10 anos e é mantido ativamente pela comunidade.
O padrão funciona como uma diretriz durante todo o ciclo de vida da aplicação, onde ajuda a definir os requisitos de segurança antecipadamente, integrá-los a um SDLC (Software Development Lifecycle) e verificar se os mesmos estão sendo atendidos adequadamente. Também pode ser usado para avaliar e verificar a segurança de uma aplicação já existente.
O ASVS possui três níveis de requisitos que são sugeridos conforme a criticidade do sistema para o negócio:
Os benefícios da inclusão da segurança da aplicação no início do SDLC não se limitam a entregar um software mais seguro. O custo de corrigir um defeito de segurança durante a fase de integração do sistema é de 15 à 90 vezes maior do que realizar a correção durante a fase de design ou codificação.
Os principais resultados obtidos pelo uso dos controles OWASP ASVS são:
A documentação do ASVS define vários requisitos e verificações necessárias para cada etapa de segurança da aplicação. As empresas costumam possuir dificuldades em quais itens devem ser priorizados e como acompanhar a evolução da segurança durante o desenvolvimento da aplicação.
Com as planilhas, é muito mais difícil coordenar as etapas necessárias de identificação, análise, priorização, mitigação e correção de cada requisito, além de manter a rastreabilidade em todo seu ciclo de vida. A utilização do OWASP ASVS dentro de um processo de gestão de segurança de aplicações precisa ser feita com agilidade.
Com a plataforma GAT é possível realizar a gestão de segurança de aplicações com base no OWASP ASVS 4.01, estabelecer padrões de desenvolvimento seguro e mensurar o atendimento aos requisitos de segurança para os sistemas, garantido uma gestão de segurança de aplicações colaborativa
Com isso, é possível comparar a conformidade aos requisitos de segurança entre os sistemas de mesma criticidade, priorizar ações de acompanhamento e validar se os times ou fábricas de software estão adotando os controles necessários nas aplicações.
A seguir, apresentamos um passo-a-passo de como realizar uma gestão de segurança das suas aplicações utilizando a plataforma GAT para conformidade com o checklist OWASP ASVS 4.01 com agilidade, automação e visibilidade.
O checklist de controles do OWASP ASVS 4.01 foi traduzido pela nossa equipe e disponibilizado em nossa base de conhecimento onde também disponibilizamos outros checklists como PCI-DSS, ISO 27.001, ISO 27.701 e avaliação de fornecedores.
Com o GAT, você pode acompanhar o ciclo de vida da aplicação, desde a concepção do projeto, desenvolvimento, produção e manutenção, sem utilizar planilhas.
Para iniciar a avaliação de uma aplicação com base no checklist OWASP ASVS é necessário criar um projeto e associar esse checklist ao ativo do tipo aplicação que irá ser avaliado. Nossa documentação descreve esse processo em mais detalhes, mas mostramos isso na prática no vídeo abaixo:
Uma vez criado, o analista de segurança ou security champion utiliza sua conta para acessar o projeto dentro do GAT e responder ao checklist.
Também é possível disponibilizar o ASVS em um formato de questionário online, de forma que pessoas sem acesso ao GAT possam responder o atendimento ao controles do ASVS, como no caso de uma fábrica de software.
A medida que o questionário é respondido, o GAT armazena as respostas e evidências em tempo real. Esse recurso contribui para um processo ágil e transparente, criando um histórico de relacionamento entre a empresa e prestadores de serviços e servindo como evidências reais para auditorias e rastreabilidade.
Ao organizar as iniciativas de segurança de aplicações por produto ou por aplicação em projetos, fica mais fácil fazer o acompanhamento do nível de segurança de cada aplicação e priorizar as atividades mais importantes.
Uma vez que o questionário estiver preenchido, é possível estabelecer métricas e indicadores personalizados por equipes, squads, aplicação, produto, de acordo com sua necessidade.
Conforme os controles vão sendo implementados, é possível atualizar seu estado no GAT que atualiza as métricas continuamente, trazendo confiança para a tomada de decisão pela liderança e rápido conhecimento sobre a gestão de segurança das aplicações da empresa.
Atualmente, existem muitas diretrizes de cibersegurança disponíveis, e provavelmente sempre será uma boa ideia seguir alguma, mas elas podem se tornam inúteis se você não introduzir os processos e tecnologias corretas em sua empresa. Em especial, as empresas de desenvolvimento de software precisam priorizar a segurança por conta do aumento de regulamentações e leis que exigem um nível maior de controles, bem como antecipar os riscos de vazamento de dados e continuidade do negócio.
Isso significa que os desenvolvedores precisam estar conscientes de questões de segurança, mas também precisam ser treinados continuamente em práticas e tecnologias modernas.
O OWASP ASVS é considerada uma das melhores documentações existentes atualmente. Os requisitos de segurança estabelecidos fazem uso de uma linguagem compreensível pelos desenvolvedores, trazendo conceitos fundamentais de segurança independentemente da escolha da tecnologia, além disso a documentação está em constante atualização pela comunidade.
Ainda é necessário garantir que a empresa possua processos e tecnologias para impor e auditar a gestão de segurança das aplicações, caso contrário, todo o esforço pode ser desperdiçado. Agende agora mesmo uma demo da plataforma GAT e faça da segurança da informação uma aliada aos negócios.