Logo do Venturus
Qual é o seu plano de segurança da informação?
  • 14 de junho de 2022
  • Blog

Qual é o seu plano de segurança da informação?

Ao descobrir que uma empresa conhecida foi hackeada, um gerente diz: “Chamem o pessoal de segurança da informação! Eu quero um Pentest em nossa aplicação! Para ontem!”

(Pentest é um teste de penetração, explicaremos com mais detalhes em uma próxima seção).

Essa situação, apesar de comum, é muito grave. No entanto, não é nada incomum nas empresas de tecnologia nos dias atuais. Com a migração massiva dos negócios do mundo real para o mundo virtual, não migraram somente os benefícios, mas também os problemas.

 

Ataques no mundo digital

Geralmente, no mundo físico, o agente malicioso precisa estar presente no local do crime que vai executar. No mundo virtual, porém, este agente pode estar em qualquer lugar. Então, é natural que, junto com a expansão de negócios para o meio digital, venha a expansão dos cibercrimes.

Com  isso, as empresas que antes desenvolviam sistemas mais focados nas regras de negócios de um determinado segmento passaram a ter que se preocupar mais com a segurança desses sistemas. Além disso, eles devem focar não só a segurança dos sistemas em si, mas toda a segurança da própria empresa e dos processos de desenvolvimento, já que qualquer brecha pode ser usada para um possível ciberataque.

É comum que, ao ficar sabendo que seus produtos podem sofrer ataques, a gerência dessas empresas decida tomar uma atitude. Geralmente, começam chamando o pessoal da segurança da informação para um relatório. Mas aí existe um problema: quem é o pessoal da segurança da informação?

 

Cenário das empresas

Dependendo do tamanho da empresa e do nível de maturidade no desenvolvimento de sistemas, o pessoal de segurança nem existe ou é uma ou duas pessoas responsáveis por garantir o desenvolvimento seguro executado por algumas centenas de desenvolvedores. Isso quando também não são responsáveis pela segurança do ambiente de desenvolvimento e de produção dessas aplicações.

As empresas não podem ser culpadas por isso. A cibersegurança não era uma demanda tão grande há uns dois anos e, agora, passou a ser emergencial. Além disso, com o aumento da demanda, o valor desse pessoal disparou e são mais raros que unicórnios no mercado!

 

Além do Pentest

Outro problema é que, no mercado de segurança atual, a buzzword Pentest virou garantia de segurança de um sistema. Sentimos em informar que não é.

O Pentest (teste de penetração) é, em bem alto nível, uma tentativa de ataque controlado. Ou seja, ele permite que sejam descobertas áreas de vulnerabilidade não previamente identificadas no sistema. Por isso, ele é, sim, muito importante para o ciclo de segurança de uma aplicação.

Contudo, ele representa só uma parte desse ciclo. Antes de se fazer um Pentest, existe uma infinidade de outras coisas que devem ser executadas.

A seguir, descrevemos alguns procedimentos anteriores ao Pentest que ajudarão a elevar o nível de segurança dos sistemas desenvolvidos pela sua empresa.

 

1.      Time de segurança de dados

O primeiro passo é ter o time de segurança. Esse pessoal pode ser interno ou não, mas deve ser qualificado e em quantidade suficiente para dar conta da demanda.

Uma sugestão é: caso a empresa não tenha esse pessoal, é bom começar com um corpo externo. Se houver interesse de internalizar os processos de segurança, procure contratar e treinar uma equipe para isso.

Nesse caso, considere que esse processo levará tempo. A cibersegurança é um campo muito amplo e complexo da computação.

 

2.      Avaliação de Vulnerabilidades

Com um time formado, deve-se fazer uma avaliação/modelagem de vulnerabilidades. Este processo pode ser longo e deve ser repetido durante todo o ciclo de vida de um sistema, desde a construção até depois da desativação.

A frequência com que essa avaliação deve ser executada depende muito do ritmo de desenvolvimento do sistema e do seu grau de maturidade.

Geralmente, sistemas que estão com desenvolvimento muito ativo devem ser avaliados com maior frequência. Sistemas mais maduros, por sua vez, podem ser testados esporadicamente.

Nesta etapa, é interessante usar uma metodologia já existente no mercado, tipo o LINDDUN, STRIDE, CVSS ou PASTA. Esses modelos já se provaram eficientes quando testados em diversas empresas.

A criação de um modelo próprio é algo complexo e demora tempo para se provar eficiente. Nesse intervalo, ele pode apresentar inconsistências que deixarão passar brechas de segurança graves até que o modelo seja devidamente testado e adequado.

 

3.      Plano de Mitigação

Depois de montada uma equipe e mapeadas as possíveis vulnerabilidades, deve-se montar um plano de mitigação das vulnerabilidades encontradas e um plano de ação em caso de ataques bem-sucedidos ou em andamento. Tudo isso recai sobre uma equipe de governança de segurança da informação.

 

Treinamento da equipe de desenvolvimento

Concomitantemente a esses três processos iniciais, é necessário realizar o treinamento dos desenvolvedores para que eles entendam como produzir código e aplicações seguras. Existem diversas fontes para isso, mas a mais utilizada são as boas práticas pregadas pelo OWASP.

O OWASP, Open Web Application Security Project® (Projeto Aberto de Segurança em Aplicações Web), é uma fundação sem fins lucrativos, que procura melhorar a segurança de software em geral por meio de projetos de código aberto espalhados em todo o mundo.

O projeto lança documentos voltados a educar pessoas desenvolvedoras acerca dos riscos mais relevantes no momento em aplicações web, assim como boas práticas de proteção de dados.

Sistemas desenvolvidos considerando o OWASP Top 10 Web Security Risks (um desses documentos) já possuem vantagem no quesito segurança em relação a sistemas que não o consideraram.

Nesses casos, o interessante é que os desenvolvedores podem colocar na esteira de desenvolvimento testes que verificam se o sistema desenvolvido está de acordo com as recomendações do OWASP Top 10.

Com tudo isso a postos, começa a ser interessante a execução de um Pentest, pois ele será o ajuste fino das medidas de segurança já implantadas tanto na empresa quanto na aplicação a ser testada.

 

Cultura de segurança

A principal dica deste artigo é que segurança não é algo que se implanta em um sistema ou em uma empresa do dia para a noite. Segurança tem mais a ver com cultura do que com produção. Então, se sua empresa ou seu projeto ainda não possui essa cultura, já está mais do que na hora de plantar a sementinha de segurança por aí.

Está interessado em começar ou quer melhorar a  cibersegurança de sua empresa? Venha conversar com os especialistas do Venturus. Temos mais de 25 anos de experiência no desenvolvimento de sistemas e contamos com projetos inovadores e adaptáveis, sempre prezando pela segurança da informação em nossas soluções.

Publicado por:

Daniel de Haro Moraes

Pesquisar

Categorias

Posts Popular

Tags

Arquivos