Você pode ouvir a nossa versão em áudio deste artigo:
A quantidade de informações e dados gerados durante o processo de desenvolvimento, ou mesmo na realização de testes em seus sistemas é de extrema importância para o bom desempenho da gestão. A falta ou a dificuldade de encontrar informações é, sem dúvida, um ponto que leva um peso muito grande tanto para o processo de gestão de vulnerabilidades, quanto para outros processos de desenvolvimento seguro.
Não é raro encontrarmos empresas que ainda realizam a gestão de informações e documentem os resultados de teste e os planos de correções por meio de planilhas.
Isso não é gestão de informações.
Por que apostar em uma plataforma centralizada?
A falta de um espaço único para centralizar as informações necessárias para um efetivo gerenciamento do processo de desenvolvimento seguro é uma das queixas mais recorrentes entre os gestores.
Como falamos, não é incomum encontrarmos empresas onde todo o processo de gestão se baseia em trocas de planilhas com informações que precisam ser atualizadas por diversas pessoas.
Este processo leva para dentro da gestão de desenvolvimento seguro uma fragilidade de dados que pode comprometer tanto a efetividade do processo, quanto deixar situações críticas sem solução.
Também não é difícil encontrarmos situações onde os gestores e operadores do processo não têm confiança na veracidade das informações das planilhas. Isso não tem ligação com mudanças propositais, e sim, com a falta de controle sobre a informação, o que pode trazer a perda da integridade do dado.
Mesmo que tudo corra bem e seja possível afirmar que as informações que podem ser mantidas nas planilhas estejam corretas, ainda temos um grande problema com este modelo de controle.
Quando trabalhamos desta forma, perdemos a capacidade de analisar os dados e extrair deles informações preciosas para que possamos melhorar e evoluir nosso modelo de desenvolvimento.
Informações analisadas a partir de dados gerados pelo seu histórico são muito importantes para proporcionar a possibilidade de um refinamento de uma estratégia, ou mesmo para ajudar no planejamento de um treinamento, caso seja observado a contínua presença de um tipo de vulnerabilidade nos códigos.
Em uma simples planilha não é possível, por exemplo, demonstrar qual o nível de segurança ou mesmo o perfil de risco assumido por uma empresa, coisas simples de serem mostradas em uma plataforma centralizada de informações.
A falta de controle ou mesmo o desconhecimento das informações tem o seu custo, e isso pode afetar claramente a segurança dos seus códigos.
Quais os possíveis problemas
Quando usamos uma forma não estruturada para o gerenciamento das vulnerabilidades, alguns impactos são esperados.
As planilhas, quando usadas, até que podem auxiliar no controle de algumas informações, mas como já foi dito, traz uma série de problemas que geram a falta de controle e ou a perda de informações importantes para a gestão de vulnerabilidades.
Ao usarmos uma solução que não é desenhada para a gestão de vulnerabilidades podemos correr o risco de não conseguirmos ver um padrão de vulnerabilidades sempre presente em nosso código, e esta falta de visão pode retardar a oportunidade de melhorar um processo.
Gap de conhecimento
Se você não consegue perceber vulnerabilidades ou situações recorrentes, pode deixar de entender, por exemplo, que sua equipe precisa investir mais tempo em um aperfeiçoamento, ou mesmo em treinamento.
Este gap de conhecimento, que poderia ser identificado por um controle maior sobre os resultados de testes e observando as vulnerabilidades encontradas ao longo do tempo, pode ser o problema raiz de uma série de vulnerabilidades presentes no código.
O gestor, ao não conseguir identificar esses gaps, pode deixar passar a oportunidade de, ao melhorar o conhecimento do time, reduzir a quantidade de vulnerabilidades e, consequentemente, o tempo gasto em retrabalho de correções.
O simples fato de ter mais controle sobre a visualização dos dados pode trazer para o processo economia de recursos.
Controle de acesso à informação
Outro problema que identificamos no uso de planilhas como base de uma processo de gestão é que em muitas empresas há um contato e uma troca de atividades muito grande entre funcionários internos e terceiros.
O uso de terceiros no processo de desenvolvimento é comum e traz benefícios em muitos casos.
No entanto, em alguns casos, há informações que você não deseja compartilhar com outras pessoas fora do seu time. Isso força a separação de informações que podem ou não ser visualizadas por certas equipes, gerando mais um ponto de falha a ser controlado.
Quando a plataforma é construída para gerenciar o processo, esta preocupação já está resolvida, pois deve haver o controle de acesso à informação. A possibilidade de controlar o acesso permite ao gestor um maior controle sobre as equipes e como elas podem e devem trabalhar com as informações que possuem.
Quando há o gerenciamento baseado em planilhas, a possibilidade de uma vulnerabilidade de alto impacto ou crítica ser deixada para correção depois ou mesmo se perder no processo é grande. Ou seja, isso prejudica muito o processo de otimização de gestão de vulnerabilidades.
Estes lapsos de informações pode trazer para a empresa riscos desnecessários, que poderiam ter sido evitados pelo uso correto de uma plataforma de gerenciamento de vulnerabilidades.
Otimização de auditorias
Mesmo que o resultado seja colocado como feito, como é possível auditar o processo?
Se você usa planilhas como base de controle, o processo de auditar as atividades de correção ficam bastante limitadas e mesmo prejudicadas pela falta de estrutura para isso.
Se sua empresa precisa comprovar para um processo de auditoria uma ação, a apresentação de planilhas não é a melhor solução.
Com plataformas criadas com esta finalidade, os registros são mantidos de forma correta bem como há a possibilidade de demonstrar uma ação histórica do processo.
A falta da possibilidade de criar um demonstrativo histórico confiável em processos de auditoria torna o processo mais moroso e muito mais rígido, pois o auditor precisa de mais dados e informações para demonstrar que as ações presentes nas planilhas não foram executadas em períodos que não os informados.
LEIA TAMBÉM: O uso de playbooks na gestão de vulnerabilidades.
A chave? a gestão adequada do processo
A Conviso Platform é nossa plataforma de Continuous Application Security e é estruturada para dar suporte total ao processo de desenvolvimento seguro.
Quando tratamos somente do processo de otimização de gestão de vulnerabilidades, a Conviso Platform está totalmente desenhado para permitir ao gestor e suas equipes o total controle sobre as informações, dados, acesso, históricos e estatísticas sobre suas análises.
Além de permitir que todo o processo seja gerenciado e auditado de forma bem mais prática, a Conviso Platform permite uma análise do cenário de segurança de código da empresa, o que dá uma visão gerencial centralizada e com muito mais controle.
Dentro da Conviso Platform, é possível manter o contato entre todos os envolvidos no processo de correção de vulnerabilidades. A comunicação centralizada ajuda e facilita o entendimento e o aprendizado de todos na equipe pois tudo se mantém registrado e armazenado.
Documentação do processo
Outro fator importante é que a Conviso Platform, ao manter todos os registos, históricos e dados sobre uma correção, também mantém o conhecimento dentro da empresa, pois todo o processo de correção está registrado.
Quando construímos a Conviso Platform, uma coisa era clara: queríamos entregar uma plataforma que fosse uma solução centralizada de dados.
Com a Conviso Platform, acabamos com a necessidade de enviar de relatórios desestruturados ou mesmo feitos sem um cuidado de contexto. Para nós, a própria Conviso Platform é um grande relatório com seu dashboard e suas várias informações.
No entanto, caso seja necessário o envio de relatório, ainda assim é possível extrair da Conviso Platform um relatório estruturado, criado com base em templates feitos por uma equipe experiente de analistas.
Relatórios por templates
O fato de que nossos relatórios são gerados a partir de uma base de templates elimina uma série de problemas como, por exemplo, a mesma vulnerabilidade ser reportada e descrita de formas diferentes por analistas diferentes.
Este simples fato economiza tempo e recurso, pois o analista só precisará identificar o template da vulnerabilidade identificada, colocar suas evidências e pronto: o relatório estará finalizado.
E por falar no tema, a espera pelo relatório de uma análise é diferente na Conviso Platform. Enquanto em um processo de análise sem uma plataforma especializada o relatório só seria disponibilizado no final da análise, na Conviso Platform isso não acontece.
Por ser uma plataforma SaaS, no momento em que o analista identifica e cadastra na Conviso Platform a vulnerabilidade, todos os envolvidos no processo desta análise serão notificados.
Isso agiliza e muito o processo de correção, pois não há necessidade de esperar o fechamento da análise para dar início aos planos de correção.
Esse tempo pode ser fundamental.
O uso da Conviso Platform pode entregar para o gestor e sua equipe o controle que é preciso para gerenciar, da melhor forma possível, o processo de gestão de vulnerabilidades.
A gestão adequada do processo de correção de vulnerabilidades pode ser a chave entre uma software seguro ou não.
