Como conduzir um programa de AppSec com uma visão centralizada e transparente para todos os envolvidos? Como trazer visibilidade à diretoria sobre os riscos atuais, classificação de ativos e priorização das vulnerabilidades identificadas? E, na prática, como gerar alinhamento entre todos os envolvidos para trabalharem colaborativamente?
Desafios na Segurança de Aplicações
Ao analisar o contexto da segurança de aplicações, percebemos muitos desafios para desenvolvedores e equipes de segurança. Antes de responder a esses desafios, há um ‘quick win’ importante: evitar a fricção entre os times de desenvolvimento e AppSec, promovendo a colaboração.
Como mencionado pela Gartner, “DevSecOps é a integração e automação de testes de segurança e conformidade em pipelines ágeis de desenvolvimento de TI e DevOps da maneira mais contínua e transparente possível, sem reduzir a agilidade ou velocidade dos desenvolvedores ou exigir que eles deixem sua cadeia de ferramentas de desenvolvimento” (Gartner, Security Tools and Practices for DevSecOps, 2023).
O ASPM (Application Security Posture Management) é uma abordagem eficaz para diminuir a fricção entre esses times.
1. Visão Centralizada e Transparente no Programa de AppSec
Para conduzir um programa de AppSec com uma visão centralizada e transparente, é crucial ter um planejamento estratégico robusto. Um Programa de AppSec estruturado deve incluir ações como modelagem de ameaças, políticas e requisitos que aproximam a organização do cenário desejado. A Gartner prevê que “até 2026, mais de 40% das organizações que desenvolvem aplicações proprietárias adotarão o ASPM para identificar e resolver mais rapidamente problemas de segurança de aplicações” (Gartner, 2023). O ASPM facilita a gestão integrada do programa de AppSec, proporcionando clareza nos resultados práticos da aplicação de processos e ações desde o desenvolvimento até a implantação, promovendo o alinhamento entre todos os envolvidos.
2. Visibilidade à Diretoria sobre Riscos e Prioridades
Trazer visibilidade à diretoria sobre os riscos atuais, classificar os ativos e priorizar as vulnerabilidades identificadas é essencial. Segundo a Gartner, “use ferramentas ASPM para gerenciar continuamente o risco de aplicativos por meio da coleta, análise e priorização de problemas de segurança em todo o ciclo de vida do software” (Gartner, Structure Application Security Tools and Practices for DevSecOps, 2023). À medida que as aplicações se tornam mais complexas, o ASPM ajuda a abordar esses desafios, proporcionando uma visão clara e facilitando a priorização de questões de segurança de forma holística.
3. Alinhamento e Colaboração Entre as Equipes
Na prática, gerar alinhamento entre todos os envolvidos para trabalharem colaborativamente é fundamental. O ASPM aproxima desenvolvedores, profissionais de esteiras e equipes de segurança AppSec, fornecendo visibilidade sobre testes de segurança SAST, SCA e outras atividades. A correlação de vulnerabilidades é essencial para evitar ruídos e resultados dispersos, e o ASPM oferece uma visão abrangente dos problemas de segurança, permitindo a priorização das vulnerabilidades com base em fatores de risco da aplicação.
Cenário de exemplo
Considere uma empresa fictícia sem uma plataforma centralizada nem um programa de AppSec definido. Após um mapeamento de gaps usando o OWASP SAMM, o time de AppSec identificou a necessidade de implementar um programa de AppSec. Utilizando o ASPM, centralizaram as informações, integraram os ativos nas esteiras e ativaram as funcionalidades de segurança, além de integrações externas. Isso proporcionou visibilidade dos riscos e incentivou a colaboração entre desenvolvedores e a equipe de segurança, promovendo a mentalidade de security by design. Com a implementação do ASPM, conseguiram visibilidade e métricas de sucesso para o programa de AppSec.
Conclusão
Implementar um programa de AppSec eficiente, suportado por uma plataforma ASPM robusta, facilita o gerenciamento da segurança de aplicações, promove a colaboração entre equipes e garante que os riscos sejam visíveis e tratados por todos os responsáveis de segurança das aplicações da organização.