O atual cenário tecnológico com as conformidades em privacidade de dados reconhecem a importância de incorporar Segurança da Informaçãodesde o início do escopo de desenvolvimento.
Os princípios estabelecidos pelo Security by Design são uma boa alternativa para as empresas que buscam incluir boas práticas de Segurança desde o planejamento da aplicação à liberação para o usuário em um processo de desenvolvimento seguro.
Muitos são os benefícios do Security by Design, como a antecipação de vulnerabilidades, redução de custos com correções e diferencial competitivo nos negócios. Porém, ainda existem questões sobre qual é a melhor abordagem para implementar os princípios do Security by Design nas equipes.
Para isso, convidamos Alessandra Martins, profissional com cerca de 15 anos de experiência na área de Tecnologia e Segurança da Informação. Alessandra compartilha conosco suas experiências com o Security by Design e fornece dicas importantes para as empresas que buscam adotar esses princípios de segurança.
Continue a leitura para conhecer as recomendações da Alessandra Martins para utilização do Security by Design e confira nosso guia completo para implementação dos princípios trazidos pelo Security by Design em sua empresa.
Nesse artigo falamos sobre:
Conheça Alessandra Martins, GPSC Consultant e DPO & CSO as a Service na CSTI Morestar
Alessandra Martins atua na área de TI desde 2004 inicialmente na área de Infraestrutura e Segurança de TI, passando por SDLC Seguro da Microsoft, Projetos de Software, Fábrica de Testes, DevSecOps e Segurança da Informação. Vice-presidente da IBRASPD (Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados). Palestrante em eventos como Semana da Informática, RoadSec, TDF Floripa, Campus Party, Women DevSummit, DBA Developers Summit e outros. Coordenadora em Eventos como The Developers Conference SP, BH e Recife.
Principais desafios para estabelecer o Security by Design
O conceito de Security by Design quando referenciado a segurança de sistemas, descreve as melhores práticas e padrões de segurança aplicados ao design da arquitetura e, em seguida, usados como princípios orientadores para o time de desenvolvimento.
Para nossa convidada Alessandra, ainda existem alguns fatores que funcionam como impeditivos para as empresas que buscam estabelecer os princípios do Security by Design em seus produtos.
Confira abaixo os principais desafios enfrentados pelas empresas com relação ao Security by Design e saiba como as recomendações da Alessandra podem ser úteis para cada situação.
Cultura
Alessandra aponta a cultura de gestão das empresas como um dos principais desafios para a adoção do Security by Design e outras boas práticas de segurança. Ela esclarece como ainda é comum ver empresas com uma postura reativa aos incidentes de segurança e confundir metodologias de mercado.
“Um dos princípios trazidos pelo Security by Design é sobre falhar com segurança, porém eu vejo por aí muitas empresas mais preocupadas em encontrar um culpado. (…) Quando você faz uso de uma metodologia como o Security by Design não existe isso de culpado, pois o processo como um todo falhou e a responsabilidade é de todos.”
As empresas orientadas apenas a implementar práticas de segurança por questões legais de conformidade terão maiores desafios para estruturar práticas como o Security by Design, pois boas práticas de segurança exigem uma postura proativa.
Maturidade em Gestão de Riscos
A falta de uma governança e gestão de riscos bem estruturadas é outro desafio enfrentado pelas empresas que buscam usar o Security by Design. Segundo Alessandra, uma gestão de riscos eficaz vai além das planilhas de riscos e relatórios de vulnerabilidades.
“Ainda existe uma governança falha no que se diz respeito à gestão de riscos. Muitas empresas estão mais interessadas em identificar os riscos e fazer um plano de ação apenas para apresentar como evidência de auditorias. (…) Porém, não estão interessadas em entender como o negócio se mantém em funcionamento.”
Para Alessandra, é preciso olhar os riscos com uma visão realista e manter todas as áreas envolvidas na mesma página, visto que cada área possui sua parcela de responsabilidade na gestão de riscos.
Definição de Responsabilidades
O Security by Design traz a necessidade de desenhar e planejar uma aplicação pensando nas boas práticas de segurança, assim em um processo de desenvolvimento de software existem várias pessoas envolvidas como desenvolvedores, gestores, testadores e outras equipes necessárias para a manutenção da aplicação.
Alessandra explica como o Security by Design distribui a responsabilidade da segurança da aplicação para todo o time e não apenas para uma pessoa específica. Isso traz ganhos reais a segurança da aplicação e contribui para um desenvolvimento com maior qualidade.
“Era comum ver um cenário onde um mesmo desenvolvedor era responsável por codificar, testar, colocar a aplicação em produção, cuidar da segurança e corrigir bug. Ou seja, não dava para realizar nenhuma dessas tarefas bem. (…) Com o Security by Design, cada um tem sua responsabilidade bem definida e assim é possível que cada membro do time desenvolva sua tarefa da melhor maneira possível e com segurança.”
Privacy by Design x Security by Design
Um conceito comumente utilizado em conjunto com o Security by Design é o conceito de Privacy by Design. Ambos conceitos possuem um objetivo em comum: trazer os assuntos de privacidade e segurança mais próximos ao planejamento do desenvolvimento das aplicações.
Perguntamos a Alessandra como seria possível realizar o trabalho do Privacy by Design em conjunto com o Security by Design. Ela nos conta que desenvolveu uma metodologia própria para envolver os dois conceitos, essa metodologia é chamada de Security Design Thinking e foi construída com os fundamentos do Design Thinking. Além disso, Alessandra esclarece outros pontos necessários para a viabilização do uso desses conceitos simultaneamente.
“Eu costumo iniciar minhas palestras pela explicação do conceito. Assim, para as empresas que desejam trabalhar com o Privacy by Design e Security by Design é importante que todas os colaboradores compreendam os conceitos por trás dessas metodologias através de uma linguagem acessível para todos.”
De acordo com Alessandra, as empresas que possuem o entendimento de que a segurança é responsabilidade de todos e investem em conscientização dos conceitos de privacidade e segurança estão prontas para embarcar na jornada do Security by Design.
Primeiros passos com o Security by Design
É conhecido a existência de diversas metodologias como o SDL da Microsoft e o guia com os princípios do Security by Design definidos pela OWASP como referências para a aplicação do conceito dentro das equipes de desenvolvimento.
Perguntamos a Alessandra se essas referências são suficientes para demonstrar o valor e importância do Security by Design no desenvolvimento de aplicações. Segundo nossa convidada, essas referências representam um início para o entendimento inicial dos conceitos, mas é necessário ir além.
“É preciso uma interpretação desses conceitos para a realidade de cada projeto e saber como transformar os conceitos em processos.”
Além disso, Alessandra compartilha outros pontos importantes necessário para implementação do Security by Design como um complemento as referências existentes.
Conscientização
Alessandra indica a desmistificação do conceito como ponto inicial para a implementação do Security by Design em equipes de desenvolvimento. Ela fala como isso pode acontecer de duas formas:
“Para aqueles que ainda não compreenderam a importância da segurança e de metodologias como o Security by Design eu começo a listar os vazamentos de dados mais recentes que aconteceram em grandes empresas. Isso costuma funcionar para sensibilizar os executivos, por exemplo. (…) Porém, eu prefiro trabalhar com uma abordagem mais construtiva explicando como cada pessoa é responsável por uma parte do processo, e por isso a importância de cada um fazer bem feito o seu trabalho sem burlar a segurança.”
Processo
É comum muitas equipes associarem o conceito de Security by Design com metodologias ágeis e o DevSecOps. Alessandra nos conta como a combinação dessas metodologias pode trazer grandes ganhos para o desenvolvimento seguro das aplicação, mas ela deixa claro que é necessário fazer uma implementação correta.
“Ser ágil não é sobre entregar novas funcionalidades em um único dia, isso é remediação. Agilidade é sobre disciplina, e isso com certeza envolve planejamento e documentação. (…) Quando falamos de um processo de DevSecOps, muitas equipes são direcionadas apenas para o uso das ferramentas, sem entender os reais motivos do processo. DevSecOps é além do ferramental, é preciso saber os reais princípios e desenvolver um processo em que os desenvolvedores ou outras pessoas não sejam capazes de burlar as etapas de segurança. Isso exige maturidade da equipe.”
Security by Design no Desenvolvimento de Aplicações
Perguntamos a nossa convidada como começar um processo de desenvolvimento de software seguro fazendo uso dos princípios do Security by Design. Confira a resposta da Alessandra com boas recomendações de práticas e ferramentas para o desenvolvimento seguro de software.
Guias de Orientação
Alessandra indica o material desenvolvido pela OWASP que aborda conceitos de desenvolvimento seguro com base nas vulnerabilidades mais exploradas pelos criminosos. Além disso, existem materiais específicos para abordagens de tecnologias diferentes como IoT, desenvolvimento mobile, cloud e API.
Aproveite e baixe nosso checklist da OWASP ASVS disponibilizado de forma gratuita para verificar se os requisitos de segurança da sua aplicação estão aderentes à função de negócio da sua empresa.
Ferramentas
Com relação às ferramentas como DAST (Dynamic Application Security Testing) e SAST (Static Application Security Testing), Alessandra diz que existem boas ferramentas pagas e também open-source, porém nenhuma ferramenta será realmente efetiva se estiver mal configurada.
“Antes de considerar colocar qualquer uma dessas ferramentas na esteira de desenvolvimento, as empresas precisam fazer um trabalho anterior com o uso de Design Patterns e métricas de qualidade. (…) Cada linguagem de desenvolvimento possui vulnerabilidades próprias conhecidas, e ao definir os Design Patterns da linguagem as equipes estão mitigando os riscos de vulnerabilidades de código.”
Alessandra conclui como é importante para as empresas que buscam implementar o Security by Design possuírem uma estrutura de gestão e processos de desenvolvimento seguro maduras e em pleno funcionamento. Dessa forma será muito mais simples inserir os princípios trazidos pelo Security by Design e usar isso como diferencial competitivo.
Considerações Finais
O GAT Core é uma plataforma completa de gestão de segurança e nossa base de conhecimento é composta por checklists de boas práticas e normativas de segurança como: OWASP, ISO27001, ISO27701, LGPD, GDPR e PCI-DSS.
Utilize nossa base de conhecimento e inicie rapidamente com o Security by Design em sua empresa. Crie dashboards para acompanhamento em tempo real do progresso do Security by Design na sua empresa, conheça e identifique prontamente as ameaças de cibersegurança relevantes ao seu negócio. Agende uma demonstração e dê um passo para a implementação do Security by Design na sua empresa.
Você também pode curtir isso:
Postagens Recentes
- Desvendando o CAASM: saiba como as aplicações dessa técnica podem blindar sua empresa
- Desvendando o CAASM: entenda o que é a tecnologia e seus diferenciais
- Protegendo a Tecnologia Operacional: Desafios e Estratégias de Segurança.
- Automatize sua Segurança da Informação com o GAT Core
- 6 passos para a Gestão de Conformidade com a LGPD
Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
[email protected]
Siga-Nos
Conteúdo
Links