Segurança de Aplicação

O Uso de Playbooks na Gestão de Vulnerabilidades

Quer ouvir a versão em áudio deste blog post? Clique no player abaixo

Quando falamos com clientes sobre a criação e manutenção de um padrão para gestão de vulnerabilidades – tanto para testes quanto para definição de requisitos, por exemplo – temos por vezes a impressão de estarmos falando sobre algo novo e complexo.

Trata-se realmente de algo um pouco mais difícil de se implementar quando a empresa tem várias equipes, compostas normalmente por muitos desenvolvedores e com uma estrutura que trabalha de forma independente.

Manter equipes grandes trabalhando com os mesmos objetivos, e seguindo um padrão dentro de um processo que muitas vezes permite certa liberdade ao desenvolvedor não é das tarefas mais fáceis.

Playbooks na Gestão de Vulnerabilidades

Em nossas consultorias de implementação de um processo de desenvolvimento seguro, ou mesmo durante a realização de testes e retestes de algum código, é comum que nossos clientes nos apresentem uma dúvida:

“Mas como vocês garantem que todos os analistas de vocês vão realizar os testes seguindo as mesmas etapas?”

O que a falta de padronização pode causar?

Mas antes de falar sobre como resolvemos este problema de garantia de qualidade, queremos falar um pouco sobre o que a falta de controles de segurança pode trazer para as empresas.

Quando uma empresa não consegue criar mecanismos que possam garantir que suas equipes sigam e mantenham um certo grau de padronização nas suas atividades, fica muito difícil garantir que todos os serviços realizados seguirão um mesmo princípio ou uma mesma sequência.

Imagine a seguinte situação: um analista é escalado para a realização de um teste em uma nova parte de um código. Como mandam as boas práticas, este analista deve ser diferente dos analistas que participam do desenvolvimento.

Durante o processo de validação do código, o analista, que, neste caso, já é experiente, realiza uma série de testes e chega ao resultado final, o qual é apresentado por meio de um relatório à equipe.

Ao final das correções, a equipe de desenvolvimento informa às equipes de teste que já podem proceder com a validação das correções, realizando novamente um teste. Mas, neste caso, o teste precisa garantir que as correções foram bem feitas.

Então, desta vez outro analista irá realizar os testes. Digamos que este profissional seja um pouco menos experiente que o anterior. Neste caso, pela troca de analistas em um teste,  uma consequência grave é a possível a perda de contexto e de muitas informações sobre o teste.

Como garantir a qualidade na revisão de código?

O que sempre surge como pergunta é “Como garantir a qualidade e a execução de testes mesmo sendo feitos por profissionais diferentes?”

Ao não conseguir garantir esta sequência de atividades e mesmo o cumprimento de atividades básicas, a empresa se coloca em risco, permitindo que erros e esquecimentos estejam presentes em seus resultados.

Isso é muito comum, e pode trazer para dentro do empresa um risco totalmente desnecessário, que pode ser resolvido facilmente com o auxílio do AppSec Flow. O AppSec Flow é uma plataforma Software as a Service (SaaS) que suporta todo o ciclo de segurança em desenvolvimento de software e gestão de vulnerabilidades.

Como o Appsec Flow pode garantir a qualidade na revisão de código

Lembra daquela pergunta lá do início do artigo, que frequentemente ouvimos de nossos clientes?

“Como vocês garantem que todos os analistas de vocês vão realizar os testes seguindo as mesmas etapas?”

Em todos os nosso serviços, usamos nossa plataforma AppSec Flow, que tem uma de suas funcionalidades focadas em garantir que testes e serviços sejam realizados seguindo um processo previamente planejado.

A funcionalidade de playbook nos permite criar um plano de ação baseado em tarefas que devem ser realizadas.

Estas tarefas, em alguns casos, podem ser colocadas como obrigatórias para o fechamento de um projeto, o que garante ao gestor um controle total sobre a execução.

Como funciona o playbook

Ao seguir o playbook, o usuário é conduzido por um cenário previamente planejado e pensado dentro das melhores práticas. A criação dos playbooks  pode ser feita tanto pela equipe da CONVISO quanto pela própria equipe do cliente, que pode criar suas próprias metodologias.

A realização de tarefas baseadas nos playbooks ajuda, de forma visual, que o gestor e a toda a equipe mantenham um padrão de atividades que não permite margens a erros.

O AppSec Flow é desenhado para entregar ao usuário um conjunto de funcionalidades que permita que ele não se ocupe com as tarefas mais pesadas do planejamento, para que fique focado no que realmente importa:  o resultado.

Com o AppSec Flow, a empresa tem total controle sobre a criação de novas metodologias, o que permite a seus analistas um resultado mais seguro, do ponto de vista de padronização.

É uma plataforma completa, que entrega a seus usuários total controle sobre a segurança de seus códigos além de auxiliar na integração com diversas outras ferramentas.

Nossa área comercial terá um grande prazer em apresentar a você todas as funcionalidades do AppSec Flow. Entre em contato com a CONVISO e saiba como o AppSec Flow pode ajudar a sua empresa.

New call-to-action
About author

Articles

Mais de 15 anos de experiência em segurança da informação e aplicações, graduado em processamento de dados, trabalhei como professor universitário e participei ativamente como instrutor de treinamento para mais de 6000 desenvolvedores em equipes de TI. Sou pai de duas meninas e trader nas horas vagas.
Related posts
Segurança de AplicaçãoTech

Conheça as diferenças entre segurança de aplicativos web e mobile

Com o mercado de desenvolvimento de aplicativos para aparelhos móveis (os famosos “mobile…
Read more
Segurança de Aplicação

O seu container é realmente seguro?

Nestes últimos anos, o uso de containers para empacotar e entregar aplicações tem se tornado cada…
Read more
OWASP SAMMSegurança de AplicaçãoTech

Como se comparam os modelos SAMM e BSIMM

A OWASP é uma das melhores fontes de conhecimento para todos os profissionais que desejam trabalhar…
Read more

Deixe um comentário