Foi realizada uma pesquisa bem interessante sobre a maturidade da segurança de aplicações em organizações. Foram entrevistados 642 profissionais da área (executivos e desenvolvedores), com perguntas sobre uso de ferramentas, conhecimento sobre SDL e políticas de segurança no desenvolvimento.

Os idealizadores da pesquisa foram a empresa Security Innovation e o Instituto Ponemon. Um dos grandes pontos que chamou atenção nos resultados foi a diferença da visão real entre executivos e desenvolvedores sobre o processo atual da segurança de aplicações que a empresa se encontra.

Atualmente a camada de aplicação é responsável por 90% das vulnerabilidades de segurança, porém mais de 80% dos orçamentos são gastos na proteção na camada de rede. Aproveito o gancho aqui para uma palestra que nosso CTO Wagner Elias fará no Silver Bullet com o título “Falta Dinheiro” , onde ele focará um pouco na parte de investimentos do orçamento da empresa.

Os 7 pontos chave encontrados na pesquisa foram.

1. Maioria das organizações não possuem um processo de desenvolvimento de software
2. Maioria das organizações não estão fazendo testes de segurança das aplicações
3. Políticas e requerimentos não estão integrados no SDLC
4. Grande maioria não possui um processo formal de treinamento de segurança em aplicações
5. Times de desenvolvimentos não são medidos por compliance com regulamentações e padrões
6. Maioria das organizações não identificam, medem ou entendem os riscos da segurança das aplicações
7. Grande desconexão entre executivos e desenvolvedores na situação real na maturidade no desenvolvimento seguro.

Abaixo alguns pontos importantes que valem ser destacados:

Um ponto que podemos achar básico, porém analisando a pesquisa notamos que não é tão comum, são as ferramentas automatizadas. Ficou constatado que durante o processo de desenvolvimento apenas 41% das empresas utilizam essas ferramentas e 43% após o lançamento. Esses números são extremamente baixos, visto que uma ferramenta automatizada seria a checagem mais simplificada, sem grande demanda de tempo, que uma empresa poderia adicionar.

Uma das grandes surpresas, conforme citado anteriormente no inicio do post, foi a diferença de visão da situação entre como a equipe de desenvolvimento está em relação a maturidade da segurança das aplicações. Executivos são totalmente otimistas com 67%, porém a parte técnica não está com a mesma visão, onde 73% NÃO acreditam nessa situação. Essa falta de consenso é bem crítica, pois demonstra que a empresa não está alinhada nesse processo de segurança de aplicação e investimentos podem ( e possivelmente devem) estar sendo feito em área erradas ou com menor necessidade.

Entendimento do risco e tomada de decisões baseado nas métricas demonstram o pouco uso dessa importante informação, sendo respectivamente 44% (entendimento do risco) e 42% (ações baseadas em métricas). Ter um contexto e adaptar a métrica ao seu negócio é fundamental para tomada de decisões, o que nos gerou dúvidas de como eles priorizam as correções e esforços, sem ter a métrica e entendimento adequado.

Alguns dados interessantes sobre os pesquisados, o que mostra grande valor da mesma, pois abrangeu diferentes áreas de atuação, assim como tamanho.

Tamanho das empresas

Área de atuação das empresas

Pesquisa e artigo completo podem ser encontrado em https://www.securityinnovation.com/security-lab/our-research/current-state-of-application-security

O Conviso Security Compliance (CSC) é a ferramenta que unifica todo o processo de desenvolvimento seguro e gestão das vulnerabilidades em uma única interface, desenvolvida pela Conviso para facilitar a priorização de ações, gerando métricas que possibilitam que a empresa tenha uma visão singular da situação atual da segurança da aplicação, tanto no lado técnico como executivo.

Requisite mais informações e uma demonstração: https://www.conviso.com.br/produtos.php