Segurança de Aplicação

Estruturando a Governança com o AppSec Flow

O mercado de AppSec vem conquistando grande visibilidade nos últimos anos. Como consequência disso, temos visto o surgimento de novas ferramentas e plataformas que buscam trazer um maior controle para os gestores.

A versão em áudio deste artigo também está disponível:

No entanto, também temos visto muitas plataformas que são reestruturadas e apresentadas como uma ferramenta que entrega as mais diversas soluções, de forma genérica e  sem mostrar em qual base de entendimento em que suas soluções se sustentam.

Na Conviso, entendemos que ferramentas e plataformas devem ser construídas com um propósito, buscando resolver um problema e entregando a melhor solução dentro de uma estrutura de conhecimento sólido e mensurável.

Neste contexto, acreditamos que buscar suporte em um método ou metodologia estruturada e que tenha seu resultado sido testado ao longo do processo e se mostra  muito mais forte em sua estrutura. 

Pensando nisso, o AppSec Flow tem suas bases fortemente fincadas em metodologias e processos que têm como foco a melhoria no processo de desenvolvimento seguro, e um destes padrões é o SAMM. 

LEIA TAMBÉM: AppSec Flow: a plataforma completa de DevSecOps

O que é  SAMM?

O SAMM é um modelo desenvolvido pela OWASP (Open Web Application Security Project) que tem como maior objetivo aumentar o grau de segurança em aplicações por meio de educação, modelos e padrões a serem seguidos.

Para compreender as práticas do Framework OWASP SAMM, estamos produzindo uma série de artigos bem detalhados sobre o tema, acompanhe clicando aqui.

Como a Governança é suportada pelo AppSec Flow

A Governança é um ponto fundamental dentro do Processo de Desenvolvimento Seguro. Aliás, a Governança é também um conceito importante a toda e qualquer atividade que precise de um gerenciamento eficaz. 

Medindo e estruturando a estratégia

A Maturidade de software pode ser vista como a evolução de muitas atividades, com preocupações diferentes. 

O objetivo do AppSec Flow enquanto plataforma de gestão é ajudar na visualização e criação de um plano e que possa ajudar a visualizar pontos de melhoria dentro do processo. Entendemos que, sem um plano bem definido, teremos grandes dificuldades na execução de nossa estratégia e a realização de tarefas desestruturadas seria uma perda de tempo.

Então, o objetivo do AppSec Flow é ajudar a criar um plano eficaz possibilitando que o gestor possa atingir os objetivos de segurança de software.

Assim, podemos dizer que o AppSec Flow atua diretamente para auxiliar nesta tarefa quando, por meio do cadastro de ativos, torna possível definir criticidades a cada um dos ativos que serão gerenciados.

Quando conseguimos ter a criticidade identificada para o ativos, temos a possibilidade de planejar melhor a forma como vamos atuar em cada uma das vulnerabilidades identificadas. 

Desta forma, podemos dar a atenção correta e necessária à vulnerabilidade sem que seja desprendido tempo para corrigir uma vulnerabilidade crítica em um ativo de baixa prioridade para o negócio, enquanto uma vulnerabilidade média em um ativo crítico foi deixada em segundo plano. 

Então, essa visão oferecida pelo AppSec Flow  permite ao gestor ter o controle adequado sobre seus ativos e como eles devem ser vistos no processo de correção.

Ainda faz parte de uma boa Governança garantir que o conhecimento que é adquirido seja aproveitado dentro da própria empresa. Isso é possível pelo uso da criação de playbooks e documentações específicas das correções feitas, gerando assim um histórico que fica armazenado na plataforma para futuras pesquisas. Isso gera para a empresa um conhecimento que de outra forma seria perdido.

Priorizar os ativos e suas correções não é o suficiente se não temos como acompanhar o progresso e a evolução no que estamos buscando. 

Para isso, o AppSec Flow apresenta em seu Dashboard uma série de informações que vão facilitar a visualização de dados como volume de vulnerabilidades, pessoas treinadas e muitas outras.

Por meio das informações extraídas das análises, é possível a criação de playbooks que venham ajudar na visualização de KPIs. 

Como colocamos em nosso artigo falando sobre a importância da comunicação, o AppSec Flow permite uma troca constante e direta entre os integrantes dos times, possibilitando a troca de experiências e melhorias no processo.

Desta forma, podemos ajudar os gestores a melhor visualizar os processos de sua área.

Quais suas políticas e requisitos legais?

Quando falamos em Governança, falamos em construção de um modelo de gestão estruturado e analisável. 

Desta forma, temos que nos apoiar em plataformas que nos ajudem a manter este planejamento, senão teremos apenas um desejo de gerenciar nossa estrutura sem uma forma adequada de validação do plano. 

O AppSec Flow pode garantir que ao pensarmos em todos os requisitos, tanto legais, contratuais ou mesmo de SLA, estes sejam acompanhados e mantidos sobre controle. 

Da mesma forma os padrões de segurança interna e externa devem ser conduzidos para garantir a conformidade, e que esta conformidade esteja alinhada com os objetivos comerciais da empresa.

Novamente, por meio do AppSec Flow é possível que a equipe crie playbooks que venham a descrever quais são as exigências a serem seguidas e como devem ser trabalhadas dentro da segurança de software.

Assim que estes documentos descrevem a estrutura, é possível vincular estes às análises garantindo que as recomendações e orientações serão seguidas mesmo que o desenvolvedor não conheça diretamente. Da mesma forma, os playbooks podem criar orientações de testes e validações prescritivas que agiliza a aplicabilidade no dia a dia da equipe.

Além de todos estes pontos, os playbooks podem servir como uma documentação de todas as regulamentações que devem ser seguidos pelas equipes de desenvolvimento, agilizando o processo de validações e testes.

Entregando conhecimento

Documentar, criar diretivas e exigir melhores práticas de nada adianta quando não temos uma equipe bem treinada e armada com as melhores informações.

Acompanhar essa evolução dentro do processo de Governança ou mesmo ter informações de como podemos nos adiantar a alguns problemas é fundamental. 

Dentro do AppSec Flow podemos apresentar dados que venham a entregar o controle sobre quais são as necessidades de entendimento e aprendizado por parte das equipes de desenvolvimento, tornando assim possível ao gestor criar seus planos de treinamento.

É possível focar em criar as condições para que as equipes tenham toda capacidade de executar as suas atividades da melhor forma possível, sem que seja necessária a intervenção a cada momento dos gestores.

Um dos temas mais recorrentes entre as equipes é que há a necessidade de manter um ciclo de treinamento constante e que possa entregar às equipes o conhecimento sobre as melhores práticas e sobre conscientização de segurança.

A cada ciclo, a organização deve criar uma base sólida de conhecimento e isso possibilita a distribuição do conhecimento não só entre os desenvolvedores, mas também entre outras áreas da empresa.

Além disso, por meio da estrutura de documentação do AppSec Flow, é possível a construção de playbooks que possam ser a base para um processo de onboarding, que será feito de forma estruturada.

Da mesma forma, a plataforma pode entregar aos desenvolvedores a possibilidade de ter acesso a guias de melhores práticas de desenvolvimento, criados e mantidos dentro da própria plataforma. Ela é um canal de comunicação direta entre todos das equipes, a qual permite a troca de experiências e conhecimento.

Acreditamos que uma plataforma bem estruturada seja um grande passo dentro da busca pelo sucesso na construção e manutenção de um processo de desenvolvimento seguro eficiente.

Click me
About author

Articles

Mais de 15 anos de experiência em segurança da informação e aplicações, graduado em processamento de dados, trabalhei como professor universitário e participei ativamente como instrutor de treinamento para mais de 6000 desenvolvedores em equipes de TI. Sou pai de duas meninas e trader nas horas vagas.
Related posts
Segurança de Aplicação

Como Desenvolver Aplicações Com Segurança? Um guia inicial

Por que desenvolver com segurança? Seria muito bom se não precisássemos ter antivírus, que…
Read more
Code FightersMobileSegurança de Aplicação

Pré-testes Android: Conceitos básicos e uma introdução ao tema

Fazer um bom laboratório para testes de segurança em aplicações android pode ser uma tarefa…
Read more
NotíciasSegurança de Aplicação

Treinamento online e gratuito sobre Segurança de Aplicações: Conheça o AppSec Starter

A Conviso disponibilizou em seu canal de YouTube o treinamento AppSec Starter – um treinamento…
Read more

Deixe um comentário