Ponto fundamental dentro do processo de desenvolvimento seguro, falar em governança em segurança de aplicações significa falar sobre a construção de um modelo de gestão estruturado e analisável. E este tema, que é muito importante – mas frequentemente subestimado no dia a dia de quem vive AppSec, foi o ponto de partida para o webinar que a Conviso realizou no dia 28 de junho, com a participação de Jederson Freitas, Head of Information Security na Blu e de Wagner Elias, CEO da Conviso.
Você também pode ouvir esse conteúdo:
“É importante conseguirmos falar sobre esses temas para que as pessoas evoluam suas estratégias de segurança e estejam mais preparadas para desafios”, avaliou Jederson, já no início do bate-papo.
Ao abordar o conceito de Governança em AppSec, ele sintetizou da seguinte forma: “a Governança é a estratégia, e a gestão é um contexto mais tático. É preciso entender o que um negócio precisa para ter resiliência, para expor seus serviços em qual mercado está inserido, quais as leis, as regulamentações – é preciso conhecer o contexto. O contexto é muito desafiador – e tudo começa da Governança”, afirmou.
Temas como ferramentas de AppSec e a importância de se criar uma cultura de segurança de aplicações nos times também foram abordados.
Assista ao conteúdo do Webinar na íntegra
Vulnerabilidade versus riscos
Um tema abordado ao longo da conversa foi a questão vulnerabilidade versus riscos. De acordo com Wagner e Jederson, um desafio comum dos times é não saber exatamente como calcular o risco. “É necessário entender que vulnerabilidade sem risco não significa nada”, afirmou Wagner.
Jederson concordou e complementou: “é preciso ter um inventário, classificar a relevância dessas aplicações, saber o nível de exposição – e a partir daí, é possível pensar em risco”.
Ferramentas de Governança em AppSec
Durante a transmissão, um tema que gerou muitas dúvidas entre os inscritos foram as ferramentas. “Muitas ferramentas de AppSec estão disponíveis, mas vejo que o processo e cultura de Appsec deve estar maduro para se pensar em investir em ferramentas pagas de segurança – qual a opinião de vocês?”, perguntou um dos espectadores
Na ocasião, os speakers concordaram que quando o assunto é ferramentas, não existe uma específica – mas sim, existem aquelas que se adequam melhor. “Não tem uma fórmula que vá funcionar para todas as empresas, então o ideal é testar”, foi o conselho de Jéderson, que relatou já ter visto casos em que uma ferramenta que funcionava muito bem em uma empresa, não ter repetido o mesmo sucesso em outra.
Afinal, se uma ferramenta gerar um volume imenso de falsos positivos, rapidamente ela perde credibilidade, exemplificaram os especialistas. “E vale lembrar que os testes precisam ser realizados junto com os times de desenvolvimento”, reforçou o Head of Information Security da Blu.
Algo que defendemos na Conviso é que as ferramentas são sim importantes em AppSec, mas não devem ser usadas como bala de prata quando o assunto é implementar segurança nos times de desenvolvimento. Abordamos o tema no artigo Ferramentas resolvem os problemas em AppSec? – não deixe de conferir.
Governança em Segurança de Aplicações Segundo o SAMM
Ao responder uma dúvida sobre referências bibliográficas quando o tema é Governança em AppSec, o CEO da Conviso lembrou aos inscritos sobre o Software Assurance Maturity Model (SAMM) – um projeto do portfólio da Open Web Application Security Project (OWASP) que define uma série de práticas com o objetivo de melhorar a segurança de software.
Desenvolvido inicialmente por Pravir Chandra em 2009, o modelo propõe um conjunto de práticas de segurança que atende todo o ciclo de vida do software, incluindo desenvolvimento e aquisição, e é independente de tecnologia e processo.
É intencionalmente construído para ser evolutivo e estabelece um modelo de maturidade de 3 níveis para cada prática orientado a risco. Em nosso blog nós temos dois artigos que abordam, de forma bem detalhada, a Governança segundo o SAMM: o primeiro fala sobre Estratégias e Métricas, enquano o segundo fala sobre Políticas e Conformidades. Não deixe de conferir!
Como a Conviso Platform pode te ajudar com a Governança em AppSec
Como ficou claro ao longo do webinar, Governança é um ponto fundamental dentro do Processo de Desenvolvimento Seguro – ela é, aliás, um conceito importante a toda e qualquer atividade que precise de um gerenciamento eficaz.
Um dos objetivos da Conviso Platform – que foi criada com base no SAMM – é empoderar times de desenvolvimento por meio da visualização e criação de um plano que estabeleça pontos de melhoria no processo de desenvolvimento seguro.
Afinal, sem um plano bem definido, os desenvolvedores enfrentarão grandes dificuldades na execução de uma estratégia, e realizar tarefas de forma desorganizada acarreta em retrabalho e perda de tempo.
Neste contexto, a Conviso Platform, com seus cinco produtos, atua em todas etapas do desenvolvimento seguro, e ajuda na criação de um plano eficaz, possibilitando que o gestor atinja os objetivos de segurança de software.
Isso ocorre, por exemplo, por meio do cadastro de ativos: a plataforma possibilita definir criticidades a cada um dos ativos que serão gerenciados. Assim, temos a possibilidade de planejar melhor a forma como vamos atuar em cada uma das vulnerabilidades identificadas.
Leia mais sobre as soluções ofertadas pela Conviso Platform no novo site da Conviso.
