Segurança de Aplicação

Estruturando a Governança com o AppSec Flow

O mercado de AppSec vem conquistando grande visibilidade nos últimos anos. Como consequência disso, temos visto o surgimento de novas ferramentas e plataformas que buscam trazer um maior controle para os gestores.

A versão em áudio deste artigo também está disponível:

No entanto, também temos visto muitas plataformas que são reestruturadas e apresentadas como uma ferramenta que entrega as mais diversas soluções, de forma genérica e  sem mostrar em qual base de entendimento em que suas soluções se sustentam.

Na Conviso, entendemos que ferramentas e plataformas devem ser construídas com um propósito, buscando resolver um problema e entregando a melhor solução dentro de uma estrutura de conhecimento sólido e mensurável.

Neste contexto, acreditamos que buscar suporte em um método ou metodologia estruturada e que tenha seu resultado sido testado ao longo do processo e se mostra  muito mais forte em sua estrutura. 

Pensando nisso, o AppSec Flow tem suas bases fortemente fincadas em metodologias e processos que têm como foco a melhoria no processo de desenvolvimento seguro, e um destes padrões é o SAMM. 

LEIA TAMBÉM: AppSec Flow: a plataforma completa de DevSecOps

O que é  SAMM?

O SAMM é um modelo desenvolvido pela OWASP (Open Web Application Security Project) que tem como maior objetivo aumentar o grau de segurança em aplicações por meio de educação, modelos e padrões a serem seguidos.

Para compreender as práticas do Framework OWASP SAMM, estamos produzindo uma série de artigos bem detalhados sobre o tema, acompanhe clicando aqui.

Como a Governança é suportada pelo AppSec Flow

A Governança é um ponto fundamental dentro do Processo de Desenvolvimento Seguro. Aliás, a Governança é também um conceito importante a toda e qualquer atividade que precise de um gerenciamento eficaz. 

Medindo e estruturando a estratégia

A Maturidade de software pode ser vista como a evolução de muitas atividades, com preocupações diferentes. 

O objetivo do AppSec Flow enquanto plataforma de gestão é ajudar na visualização e criação de um plano e que possa ajudar a visualizar pontos de melhoria dentro do processo. Entendemos que, sem um plano bem definido, teremos grandes dificuldades na execução de nossa estratégia e a realização de tarefas desestruturadas seria uma perda de tempo.

Então, o objetivo do AppSec Flow é ajudar a criar um plano eficaz possibilitando que o gestor possa atingir os objetivos de segurança de software.

Assim, podemos dizer que o AppSec Flow atua diretamente para auxiliar nesta tarefa quando, por meio do cadastro de ativos, torna possível definir criticidades a cada um dos ativos que serão gerenciados.

Quando conseguimos ter a criticidade identificada para o ativos, temos a possibilidade de planejar melhor a forma como vamos atuar em cada uma das vulnerabilidades identificadas. 

Desta forma, podemos dar a atenção correta e necessária à vulnerabilidade sem que seja desprendido tempo para corrigir uma vulnerabilidade crítica em um ativo de baixa prioridade para o negócio, enquanto uma vulnerabilidade média em um ativo crítico foi deixada em segundo plano. 

Então, essa visão oferecida pelo AppSec Flow  permite ao gestor ter o controle adequado sobre seus ativos e como eles devem ser vistos no processo de correção.

Ainda faz parte de uma boa Governança garantir que o conhecimento que é adquirido seja aproveitado dentro da própria empresa. Isso é possível pelo uso da criação de playbooks e documentações específicas das correções feitas, gerando assim um histórico que fica armazenado na plataforma para futuras pesquisas. Isso gera para a empresa um conhecimento que de outra forma seria perdido.

Priorizar os ativos e suas correções não é o suficiente se não temos como acompanhar o progresso e a evolução no que estamos buscando. 

Para isso, o AppSec Flow apresenta em seu Dashboard uma série de informações que vão facilitar a visualização de dados como volume de vulnerabilidades, pessoas treinadas e muitas outras.

Por meio das informações extraídas das análises, é possível a criação de playbooks que venham ajudar na visualização de KPIs. 

Como colocamos em nosso artigo falando sobre a importância da comunicação, o AppSec Flow permite uma troca constante e direta entre os integrantes dos times, possibilitando a troca de experiências e melhorias no processo.

Desta forma, podemos ajudar os gestores a melhor visualizar os processos de sua área.

Quais suas políticas e requisitos legais?

Quando falamos em Governança, falamos em construção de um modelo de gestão estruturado e analisável. 

Desta forma, temos que nos apoiar em plataformas que nos ajudem a manter este planejamento, senão teremos apenas um desejo de gerenciar nossa estrutura sem uma forma adequada de validação do plano. 

O AppSec Flow pode garantir que ao pensarmos em todos os requisitos, tanto legais, contratuais ou mesmo de SLA, estes sejam acompanhados e mantidos sobre controle. 

Da mesma forma os padrões de segurança interna e externa devem ser conduzidos para garantir a conformidade, e que esta conformidade esteja alinhada com os objetivos comerciais da empresa.

Novamente, por meio do AppSec Flow é possível que a equipe crie playbooks que venham a descrever quais são as exigências a serem seguidas e como devem ser trabalhadas dentro da segurança de software.

Assim que estes documentos descrevem a estrutura, é possível vincular estes às análises garantindo que as recomendações e orientações serão seguidas mesmo que o desenvolvedor não conheça diretamente. Da mesma forma, os playbooks podem criar orientações de testes e validações prescritivas que agiliza a aplicabilidade no dia a dia da equipe.

Além de todos estes pontos, os playbooks podem servir como uma documentação de todas as regulamentações que devem ser seguidos pelas equipes de desenvolvimento, agilizando o processo de validações e testes.

Entregando conhecimento

Documentar, criar diretivas e exigir melhores práticas de nada adianta quando não temos uma equipe bem treinada e armada com as melhores informações.

Acompanhar essa evolução dentro do processo de Governança ou mesmo ter informações de como podemos nos adiantar a alguns problemas é fundamental. 

Dentro do AppSec Flow podemos apresentar dados que venham a entregar o controle sobre quais são as necessidades de entendimento e aprendizado por parte das equipes de desenvolvimento, tornando assim possível ao gestor criar seus planos de treinamento.

É possível focar em criar as condições para que as equipes tenham toda capacidade de executar as suas atividades da melhor forma possível, sem que seja necessária a intervenção a cada momento dos gestores.

Um dos temas mais recorrentes entre as equipes é que há a necessidade de manter um ciclo de treinamento constante e que possa entregar às equipes o conhecimento sobre as melhores práticas e sobre conscientização de segurança.

A cada ciclo, a organização deve criar uma base sólida de conhecimento e isso possibilita a distribuição do conhecimento não só entre os desenvolvedores, mas também entre outras áreas da empresa.

Além disso, por meio da estrutura de documentação do AppSec Flow, é possível a construção de playbooks que possam ser a base para um processo de onboarding, que será feito de forma estruturada.

Da mesma forma, a plataforma pode entregar aos desenvolvedores a possibilidade de ter acesso a guias de melhores práticas de desenvolvimento, criados e mantidos dentro da própria plataforma. Ela é um canal de comunicação direta entre todos das equipes, a qual permite a troca de experiências e conhecimento.

Acreditamos que uma plataforma bem estruturada seja um grande passo dentro da busca pelo sucesso na construção e manutenção de um processo de desenvolvimento seguro eficiente.

Click me
About author

Articles

Mais de 15 anos de experiência em segurança da informação e aplicações, graduado em processamento de dados, trabalhei como professor universitário e participei ativamente como instrutor de treinamento para mais de 6000 desenvolvedores em equipes de TI. Sou pai de duas meninas e trader nas horas vagas.
Related posts
Segurança de Aplicação

O seu container é realmente seguro?

Nestes últimos anos, o uso de containers para empacotar e entregar aplicações tem se tornado cada…
Read more
OWASP SAMMSegurança de AplicaçãoTech

Como se comparam os modelos SAMM e BSIMM

A OWASP é uma das melhores fontes de conhecimento para todos os profissionais que desejam trabalhar…
Read more
Segurança de Aplicação

Testes de Segurança - Os Conceitos Essenciais

Se perguntarmos para qualquer profissional de segurança ou de desenvolvimento se ele acha que…
Read more

Deixe um comentário