Artigos

A importância do Desenvolvimento Seguro

Por 22 de outubro de 2020 Sem comentários

*Kelli Ribeiro

Nos últimos anos, inúmeras empresas foram alvo de ataques cibernéticos ou envolveram-se em polêmicas com roubo ou vazamento de dados e tiveram danos como:

  • Alteração de conteúdo de páginas na web;
  • Interrupção de serviços;
  • vazamento de informações estratégicas ou dados de colaboradores e clientes presentes em bancos de dados, servidores de arquivo e e-mails.

Um dos principais alvos de ataques são os sistemas web devido a facilidade de explorar vulnerabilidades e a dificuldade de identificação do criminoso responsável pelo ataque.

Para manter a segurança de software é necessário garantir a confidencialidade, integridade e disponibilidade dos recursos de informação que o suportam. Com base nisso, as empresas têm cada vez mais, buscado alternativas para aprimorar a segurança em seu software desde o momento em que estas são desenvolvidas. Nesse cenário surge o conceito e processo de desenvolvimento seguro.

Benefícios ao desenvolver um Código Seguro:

  • Diminuição no número de incidentes;
  • Menor tempo de parada para manutenção de softwares;
  • Reduzir os custos com retrabalhos;
  • Atender as regulamentações e a legislação e, dessa forma, conquistar maior confiança do mercado e gerar um diferencial competitivo.

Ciclo de vida de desenvolvimento de sistemas (SDLC):

As práticas recomendadas para o desenvolvimento de software seguro requerem a integração da segurança em cada fase do ciclo de vida do desenvolvimento de software, que ajuda a detectar problemas no início de desenvolvimento, reduzindo assim os custos de desenvolvimento.

As seguintes fases devem ser consideradas:

  • Treinamento: aculturar as equipes de negócio e técnicas em matéria de segurança;
  • Requisitos: analisar e discutir sobre os requisitos de segurança:
  1. Identificação de segurança necessária, requisitos mínimos de qualquer software;
  2. Privacidade;
  3. Legislação vigente, políticas internas e externas;
  4. Definir os especialistas para o desenvolvimento e profissionais de segurança da informação;
  5. Segurança dos dados, mínimo aceitável;
  6. Avaliação dos riscos de segurança e da privacidade;
  7. Utilizar ferramentas de testes;
  8. Definir quality gates, quando avança próxima etapa, isso deve contemplar falhas de segurança;
  • Design: Arquitetar o desenvolvimento de software com base nos requisitos de segurança. A questão da privacidade deve ser avaliada pelos desenvolvedores juntamente com a área de negócio;
  • Implementação: Especificar ferramenta de segurança, listas de verificação, reforçadas funções proibidas e realizada a análise estática, assim como são adotadas as melhores práticas de codificação segura para ajudar a implementar um projeto seguro;
  • Verificação: Testar o software, utilizando métodos para validar a funcionalidade até os requisitos de segurança e privacidade das informações
  • Lançamento: Definir o plano de resposta a incidentes de softwares e os respectivos responsáveis em cada etapa devidamente documentado;
  • Resposta: Realizar a execução do Plano de resposta a incidentes, que consiste em:
  • Responder a defeitos de segurança e trabalhar com pessoas que descobrem problemas de segurança no código.
  • Aprender com os erros, através da análise e documentação da causa dos defeitos.

Requisitos da ISO 27001

A ISO 27001 possui 16 (dezesseis) controles organizados no anexo A.14. Os seguintes controles devem ser considerados para o desenvolvimento seguro:

  • Garantir que a segurança da informação é parte integrante dos sistemas de informação ao longo de todo ciclo de vida;
  • Especificar os requisitos relacionados com segurança da informação devem ser incluídos nas especificações e requisitos;
  • Proteger os sistemas nas Transações de Serviços – Informações envolvidas em transações devem ser protegidas para prevenir erros, alterações, divulgações não autorizadas;
  • Implementar procedimentos para Controle de Mudanças de sistemas;
  • Estabelecer ambientes adequados para ambientes de desenvolvimento seguros, contemplando todo o ciclo de vida;
  • Supervisionar e monitorar as atividades de desenvolvimento terceirizado;
  • Garantir a proteção de dados usados para testes.

Conclusão

O desenvolvimento seguro de software é um tema de extrema relevância para as organizações e se torna cada vez mais complexo pela manipulação de um número cada vez maior de informações. Assegurar que esses dados estejam seguros é fundamental para o sucesso do negócio.

A SAFEWAY pode ajudar a sua organização a implementar uma metodologia de desenvolvimento seguro através da implementação do ciclo de vida de desenvolvimento (SDLC) em conjunto com os controles da ISO 27001, utilizados para desenvolver de forma segura e a tratar como um processo de forma sistemática e contínua na manutenção dos níveis de segurança.