Neste artigo, daremos sequência à série de publicações sobre o OWASP SAMM (Software Assurance Maturity Model), abordando a prática de segurança relacionada à Gestão Operacional em Segurança de Aplicações, dentro do domínio de Operação.
Quando pensamos em gestão de aplicações, geralmente a primeira coisa que vem à mente é a gestão de riscos e vulnerabilidades, mas não devemos pensar apenas nisso.
Segundo o OWASP SAMM para termos uma boa prática de Gestão Operacional, devemos concentrar nossas atividades para garantir que a segurança seja mantida em todas as funções de suporte operacional, criando controles técnicos e administrativos para garantir a segurança na gestão de dados, ativos e componentes legados da sua aplicação.
A Gestão Operacional segundo o SAMM é divida em dois fluxos principais:
- Proteção de dados
- Desativação do Sistema / Gerenciamento de Legado
No decorrer deste artigo veremos o que é esperado para atingir uma maturidade mais elevada nesses dois fluxos.
Gestão Operacional na proteção de dados
Em um nível mais baixo de maturidade, é esperado que o negócio tenha, no mínimo, uma visão dos tipos dos dados utilizados pelas suas aplicações, saiba classificá-los, e tenha controles básicos de gestão.
A maturidade aumenta conforme os controles ficam mais robustos e automatizados, onde em uma maturidade mais elevada, a organização utiliza ferramentas para auxiliar em sua gestão dos dados e diminui o esforço humano.
Nível 1
Nesse primeiro nível é esperado que o negócio tenha entendimento dos tipos e a confidencialidade dos dados armazenados e processados pelas suas aplicações.
A organização precisa ter um controle sobre o destino dos dados processados (por exemplo: backups, compartilhamento com terceiros/parceiros externos e etc.) e se manter sempre informada e atualizada com o controle criado.
Por fim, o negócio pode implementar controles básicos para melhor gestão de suas aplicações, visando evitar a propagação de dados confidenciais não sanitizados de ambientes de produção para ambientes inferiores.
Nível 2
Nesse nível de maturidade espera-se que as atividades de proteção de dados se concentrem no gerenciamento dos dados da aplicação.
Portanto, deve-se estabelecer controles técnicos e administrativos para proteger e manter a confidencialidade dos dados sensíveis e a integridade e disponibilidade de todos os dados sob o cuidado do negócio. Estes controles devem vigorar durante todo o ciclo de vida do dado, desde o momento em que a empresa ou a área de negócio recebe o dado até o seu descarte.
É importante mencionar que o descarte e a retenção dos dados devem ser realizados conforme a Política de Retenção de Dados da empresa. O negócio precisa mapear os dados que são armazenados, processados e compartilhados pelas suas aplicações, de modo que consiga classificar por nível de sensibilidade e tipo.
A empresa precisa entender claramente seus registros de dados sujeitos a regulamentações (Por exemplo: LGPD, GDPR e etc.).
Quando o mapeamento é colocado em prática, além de oferecer uma gestão sobre os dados das aplicações, também aumenta a precisão, pontualidade e eficiência de suas respostas a consultas relacionadas a auditoria, equipes de resposta a incidentes ou a clientes, e facilita a modelagem de ameaças e atividades relacionadas a conformidade.
Com base na sua Política de Proteção de Dados, crie processos e procedimentos para proteger e preservar os dados durante todo o seu ciclo de vida.
Nível 3
Neste último nível de maturidade as atividades são focadas na automação da proteção de dados, visando reduzir o trabalho humano para avaliar e gerenciar a conformidade com as políticas.
É importante monitorar as tentativas de violações, e usar ferramentas disponíveis para prevenção de perda de dados, controle de acesso e rastreamento ou detecção de comportamento anômalo.
Além disso, deve-se auditar periodicamente as operações automatizadas para avaliar se correspondem as políticas da empresa, incluindo processos de backups e exclusões de registros.
Desativação do Sistema / Gerenciamento de Legado
Nesse fluxo, o nível de maturidade aumenta conforme a empresa melhora os controles de seus ativos e componentes legados, ou dos que vão se tornar legados em um período específico de tempo.
Em um nível mais baixo é esperado que o negócio tenha uma visão clara de seus ativos legados e gerencie a migração de usuários para versões mais recentes.
Em um nível mais elevado, a organização tem controles que avaliam o ciclo de vida do ativo ou componente, assim podendo antecipar seus clientes e usuários nos casos de encerramento de suporte em versões mais antigas da aplicação.
Nível 1
No primeiro nível de maturidade é esperado que o negócio mapeie suas aplicações ou ativos que não são mais utilizados, realize operações adicionais para esses casos e estabeleça um processo formal para desativá-los.
Há a necessidade de gerenciar a migração de clientes/usuários de versões mais antigas de suas aplicações, e quando não houver nenhum usuário em alguma versão, suspenda o suporte para esta.
Nível 2
Para atingir este nível, o negócio deve seguir um processo estabelecido como parte da desativação de sua aplicação, removendo todas as contas irrelevantes, regras de firewall, dados, etc. do ambiente operacional.
Deve haver também um processo para validar atualizações de aplicações ou dependências de terceiros, e substituir aqueles que atingiram o fim de sua vida útil.
A documentação de suporte para todas as versões lançadas de seus produtos deve estar disponível sempre em um local acessível.
Nível 3
No último nível de maturidade é esperado que o negócio avalie regularmente o estado do ciclo de vida, o status do suporte de cada ativo e dos componentes de suas aplicações, visando estimar seu fim de vida.
Com a estimativa de vida útil de seus componentes e ativos em mãos, defina um plano de suporte ao produto, fornecendo prazos claros para encerrar o suporte em versões mais antigas da aplicação.
De posse desse planejamento, informe seus clientes e usuários quando for descontinuar o suporte em versões anteriores. Acompanhe ativamente os riscos de segurança que surgem em seus ativos e componentes à medida que se aproximam do fim de sua vida útil, e trace planos para mitigá-los.
Por fim, revise e atualize todo o processo pelo menos uma vez por ano.
O que podemos concluir sobre Gestão Operacional em segurança de aplicações?
Devemos olhar para os dados que nossas aplicações irão utilizar e criar controles técnicos e administrativos para a proteção e descarte adequado desses dados, e não podemos deixar de estar de acordo com as regulamentações que a organização está sujeita a cumprir.
Outro ponto importante é sempre olhar para nossos ativos e componentes e termos um planejamento concretizado sobre o que é, e o que pode ser legado.
Lembrando que, se agirmos proativamente, mapeando o ciclo de vida de nossos ativos/componentes, podemos nos antecipar e assim planejarmos adequadamente a desativação de um sistema, e assim dedicarmos tempo e esforço para outras atividades.
