Segundo o SAMM, quando falamos em Educação e Governança para Segurança de Aplicações, nos referimos a capacitação do time envolvido, englobando toda a estrutura dos times de desenvolvimento, segurança e operações em todo o ciclo de vida de desenvolvimento.
Você também pode ouvir esse conteúdo:
Para essa capacitação, é necessário que todas as informações referentes às aplicações estejam devidamente publicadas e acessíveis às pessoas envolvidas, de forma a identificarem e planejarem as mitigações das possíveis fraquezas e vulnerabilidades presentes neste ciclo.
Por meio de treinamentos, podemos fomentar o crescimento e desenvolvimento da consciência de segurança, sejam com módulos de treinamentos práticos, instrutores propagando os conhecimentos, publicações e mesmo com a criação de uma base de conhecimentos compartilhada.
Oferecendo este conteúdo tanto aos desenvolvedores como aos demais membros de outras equipes, possibilitamos uma conscientização e entendimento muito mais aprimorado dos cenários e riscos existentes.
Além disso, deve-se ter também uma organização planejada sobre a guarda das informações e documentações referentes às aplicações, através da utilização de ferramentas colaborativas e melhor compreensão das tecnologias envolvidas.
Um ponto de partida
Considerando os níveis de maturidade propostos pelo SAMM, temos como ponto de partida a disponibilização de recursos referentes ao desenvolvimento e implementação, oferecendo treinamentos de conscientização aos times de desenvolvimento de software. Tal conscientização promoveria um nivelamento de conhecimentos em toda a equipe, aumentando a visibilidade dos riscos inerentes aos aplicativos.
A abordagem traria uma melhor visibilidade mesmo ao público não técnico, vislumbrando um melhor conhecimento aos princípios de design seguro, privilégios, entre outros, incluindo novamente, os padrões e políticas relacionados ao ambiente da empresa. Tais temas podem ser abordados em alto nível, ficando desta forma compreensível para todas as áreas da organização.
Uma vez realizado este nivelamento, cada área teria uma estrutura desenhada para suas atividades específicas, não aprofundando em tecnologias relacionadas, mas sim, única e exclusivamente naquilo que tem relação direta com o ambiente de desenvolvimento.
Conforme a evolução destas práticas se torna natural ao ambiente, a criação de um programa formal de treinamentos obrigatórios para as pessoas envolvidas no desenvolvimento das aplicações pode ser aplicada, condicionando sua execução a um processo de onboarding. Isso é necessário para que os devidos acessos aos recursos sejam concedidos.Dentro dos processos, devem também ser abordados temas relacionados às padronizações, de forma a reduzir impactos nos procedimentos.
Para o sucesso de tal plano, seu conteúdo também deve passar por constantes revisões e atualizações, conforme as tecnologias e ferramentas do ambiente se atualizem.
O papel do Security Champion
Com tais práticas aplicadas à rotina dos envolvidos, podemos agregar um programa de Security Champions, no qual um membro, preferencialmente do próprio time de desenvolvimento, atuaria como um ponto focal na comunicação com as equipes de segurança. Parte de suas atuações ficariam dedicadas para atividades pertinentes à segurança das aplicações, participando de ações com os referidos times, para devidas análises de estruturas e arquiteturas planejadas para o desenvolvimento, levando ao conhecimento do time desenvolvedores as práticas definidas nestas ações.
Sugere-se ainda a formalização de práticas de excelência em codificação segura, nas quais seriam definidos os padrões e melhores práticas do ambiente, tais como requisitos mínimos de aceitação de arquiteturas, garantindo que todas as equipes sigam um mesmo modelo de desenvolvimento. Ainda nesta etapa, novamente criam-se recursos para repasse de conhecimentos e capacitação dos times.
Ainda dentro do papel dos Security Champions, cabe também a criação de canais de comunicação e publicações para a construção de uma base de conhecimentos. Isso promoveria a evolução do programa e capacitação de novos Security Champions, impulsionando cada vez mais a conscientização necessária para um ambiente menos suscetível a fragilidades.
Este texto faz parte de uma série de artigos da Conviso que aborda todas as práticas do Framework OWASP SAMM. Confira todos os textos da série já publicados até agora.
Série artigos SAMM
- Governança segundo SAMM: Estratégias e Métricas em Segurança de Aplicações
- Governança segundo SAMM: Políticas e Conformidades em Segurança de Aplicações
- Governança segundo SAMM: Educação e Orientação em Segurança de Aplicações
- Design segundo SAMM: Modelagem de Ameaças em Segurança de Aplicações
- Design segundo SAMM: Requisitos de Segurança em Segurança de Aplicações
- Design segundo SAMM: Arquitetura Segura em Segurança de Aplicações
- Implementação segundo SAMM: Build Seguro em Segurança de Aplicações
- Implementação segundo SAMM: Deploy Seguro em Segurança de Aplicações
- Implementação segundo SAMM: Gestão de Defeitos em Segurança de Aplicações
- Verificação segundo SAMM: Análise de Arquitetura em Segurança de Aplicações
- Verificação segundo SAMM: Testes Orientados a Requisitos em Segurança de Aplicações
- Verificação segundo SAMM: Testes de Segurança em Segurança de Aplicações
- Operações segundo SAMM: Gestão de Incidentes em Segurança de Aplicações
- Operações segundo SAMM: Gestão de Ambientes em Segurança de Aplicações
- Operações segundo SAMM: Gestão Operacional em Segurança de Aplicações
