*Kelli Ribeiro
Nos últimos anos, inúmeras empresas foram alvo de ataques cibernéticos ou envolveram-se em polêmicas com roubo ou vazamento de dados e tiveram danos como:
- Alteração de conteúdo de páginas na web;
- Interrupção de serviços;
- vazamento de informações estratégicas ou dados de colaboradores e clientes presentes em bancos de dados, servidores de arquivo e e-mails.
Um dos principais alvos de ataques são os sistemas web devido a facilidade de explorar vulnerabilidades e a dificuldade de identificação do criminoso responsável pelo ataque.
Para manter a segurança de software é necessário garantir a confidencialidade, integridade e disponibilidade dos recursos de informação que o suportam. Com base nisso, as empresas têm cada vez mais, buscado alternativas para aprimorar a segurança em seu software desde o momento em que estas são desenvolvidas. Nesse cenário surge o conceito e processo de desenvolvimento seguro.
Benefícios ao desenvolver um Código Seguro:
- Diminuição no número de incidentes;
- Menor tempo de parada para manutenção de softwares;
- Reduzir os custos com retrabalhos;
- Atender as regulamentações e a legislação e, dessa forma, conquistar maior confiança do mercado e gerar um diferencial competitivo.
Ciclo de vida de desenvolvimento de sistemas (SDLC):
As práticas recomendadas para o desenvolvimento de software seguro requerem a integração da segurança em cada fase do ciclo de vida do desenvolvimento de software, que ajuda a detectar problemas no início de desenvolvimento, reduzindo assim os custos de desenvolvimento.
As seguintes fases devem ser consideradas:
- Treinamento: aculturar as equipes de negócio e técnicas em matéria de segurança;
- Requisitos: analisar e discutir sobre os requisitos de segurança:
- Identificação de segurança necessária, requisitos mínimos de qualquer software;
- Privacidade;
- Legislação vigente, políticas internas e externas;
- Definir os especialistas para o desenvolvimento e profissionais de segurança da informação;
- Segurança dos dados, mínimo aceitável;
- Avaliação dos riscos de segurança e da privacidade;
- Utilizar ferramentas de testes;
- Definir quality gates, quando avança próxima etapa, isso deve contemplar falhas de segurança;
- Design: Arquitetar o desenvolvimento de software com base nos requisitos de segurança. A questão da privacidade deve ser avaliada pelos desenvolvedores juntamente com a área de negócio;
- Implementação: Especificar ferramenta de segurança, listas de verificação, reforçadas funções proibidas e realizada a análise estática, assim como são adotadas as melhores práticas de codificação segura para ajudar a implementar um projeto seguro;
- Verificação: Testar o software, utilizando métodos para validar a funcionalidade até os requisitos de segurança e privacidade das informações
- Lançamento: Definir o plano de resposta a incidentes de softwares e os respectivos responsáveis em cada etapa devidamente documentado;
- Resposta: Realizar a execução do Plano de resposta a incidentes, que consiste em:
- Responder a defeitos de segurança e trabalhar com pessoas que descobrem problemas de segurança no código.
- Aprender com os erros, através da análise e documentação da causa dos defeitos.
Requisitos da ISO 27001
A ISO 27001 possui 16 (dezesseis) controles organizados no anexo A.14. Os seguintes controles devem ser considerados para o desenvolvimento seguro:
- Garantir que a segurança da informação é parte integrante dos sistemas de informação ao longo de todo ciclo de vida;
- Especificar os requisitos relacionados com segurança da informação devem ser incluídos nas especificações e requisitos;
- Proteger os sistemas nas Transações de Serviços – Informações envolvidas em transações devem ser protegidas para prevenir erros, alterações, divulgações não autorizadas;
- Implementar procedimentos para Controle de Mudanças de sistemas;
- Estabelecer ambientes adequados para ambientes de desenvolvimento seguros, contemplando todo o ciclo de vida;
- Supervisionar e monitorar as atividades de desenvolvimento terceirizado;
- Garantir a proteção de dados usados para testes.
Conclusão
O desenvolvimento seguro de software é um tema de extrema relevância para as organizações e se torna cada vez mais complexo pela manipulação de um número cada vez maior de informações. Assegurar que esses dados estejam seguros é fundamental para o sucesso do negócio.
A SAFEWAY pode ajudar a sua organização a implementar uma metodologia de desenvolvimento seguro através da implementação do ciclo de vida de desenvolvimento (SDLC) em conjunto com os controles da ISO 27001, utilizados para desenvolver de forma segura e a tratar como um processo de forma sistemática e contínua na manutenção dos níveis de segurança.