Primordialmente, a Segurança de Aplicações (AppSec) deve ser integrada em todas as etapas do processo de desenvolvimento, incluindo construção, lançamento e operação, e não apenas como uma etapa final do projeto. Nesse sentido, se sua empresa está amadurecendo a ideia sobre AppSec e entende a necessidade de expandir essa cultura em sua empresa e tomar ações e práticas, está no momento de buscar a implementação de um programa de segurança de aplicações.
Entendendo o programa de segurança de aplicações
Com base nas práticas da OWASP SAMM (Software Assurance Maturity Model), executamos o projeto com profissionais altamente capacitados, para estruturar um programa de segurança de aplicações completo na organização. Dentro das fases deste projeto, é necessário entender qual a maturidade dos times em relação à segurança, quais ações já são tomadas e como os times lidam com falhas, correções e prevenções. Além disso, é necessário ações para que a cultura de AppSec seja disseminada nos times, e não apenas processos, requisitos e ferramentas.
Todavia, poucos entendem que para incluir práticas de segurança de aplicações em uma empresa, é preciso entender que isso vem de uma cultura e que se faz necessário incentivá-la diariamente. A mudança cultural poderá ser um dos maiores desafios que você irá enfrentar sem um programa de Security Champions, etapa final do projeto.
Quando falamos de desenvolvimento seguro, precisamos unir os times de Segurança e Desenvolvimento, para mostrar que a segurança dentro do ciclo de desenvolvimento é responsabilidade de todos.
Orientados pelo OWASP SAMM
Durante todo o processo e mapeamento da implementação do programa de segurança de aplicações, somos orientados as boas práticas do OWASP SAMM. O modelo propõe um conjunto de práticas de segurança que atende todo o ciclo de vida do software, incluindo desenvolvimento e aquisição. Na sua versão 2.0 lançada em Janeiro de 2020, ele traz 5 domínios com suas respectivas práticas: Governança, Design, Implementação, Verificação e Operação.
Acesse a série de conteúdos sobre o OWASP SAMM e seus 5 domínios.
Do Gap Analysis à construção de um S-SDLC
Do mesmo modo, utilizando como modelo a OWASP SAMM, um Gap Analysis é realizado e um plano de ação é desenvolvido para construir um S-SDLC (Secure Software Development Lifecycle) aderente às práticas de desenvolvimento da organização.
Esse método implica em analisar e entender o atual estado dos processos de desenvolvimento mantidos pela organização, confrontar com as melhores práticas e, com isso, diagnosticar as deficiências que precisam ser tratadas. Logo, o resultado do estudo será um plano de ação para correção dos gaps identificados.
O Gap Analysis será feito a partir de coleta de informações e entrevistas com os times de desenvolvimento. Com os dados, serão realizadas análises que resultarão em um relatório apresentando o nível de maturidade atual e o que deve ser feito para atingir o nível de maturidade desejado pela organização.
Como resultado, é construído um S-SDLC (Secure Software Development Lifecycle) que permitirá, por meio de um conjunto de atividades estruturadas de segurança, que as aplicações sejam desenvolvidas com base nas melhores práticas de desenvolvimento seguro, o que ao final do processo nos entregaria uma aplicação mais segura.
Security Champions
Assim também, outro entregável do AppSec Journey, é uma documentação para estruturação do programa de Security Champions. Neste programa, um membro, preferencialmente do próprio time de desenvolvimento, atua como um ponto focal na comunicação com a equipe de segurança. Parte de suas atuações ficam dedicadas para atividades pertinentes à segurança das aplicações, participando de ações com os referidos times, levando o conhecimento ao time de desenvolvedores e às práticas definidas nestas ações.
Gerenciamento através da Conviso Platform
Por fim, todo esse processo pode ser gerenciado pela Conviso Platform. Utilizando a área de projects, onde é possível criar cada projeto que faz parte desse programa de segurança de aplicações. Outro ponto importante é que temos a opção de anexar os resultados obtidos em cada fase nos seus respectivos projetos, e com isso podemos consultar esses resultados sempre que necessário.
Além disso, é possível criar um requirements (requisitos) para o projeto, com isso você consegue saber exatamente o progresso do programa de segurança de aplicações. No entanto, quando falamos do resultado do programa que é S-SDLC, a Conviso Platform pode atender de diferentes formas como: gestão de ativos, gestão de vulnerabilidades, modelagem de ameaças, treinamentos para desenvolvedores, entre outros.
