Saturday, July 8, 2017

Como criar um orçamento efetivo de segurança de aplicativos



Rohit Sethi, COO at Security Compass

July 5, 2017

How to create an effective application security budget

Tradução de Afonso H. R. Alves


O software inadequadamente seguro está entre os problemas mais significativos na segurança cibernética. A frequência e a gravidade dos ataques na camada de aplicação são maiores do que na camada de rede, mas a pesquisa mostra que a segurança da rede recebe o dobro do orçamento. De acordo com o Instituto Ponemon, 18 por cento dos orçamentos de segurança de TI são dedicados à segurança das aplicações, enquanto 39 por cento são alocados para a segurança da rede. Como resultado, as organizações não possuem recursos suficientes para detectar vulnerabilidades em aplicativos.
Garantir a segurança do software é difícil. Ao contrário da segurança de rede, onde um único controle como gerenciamento de patches pode afetar grandes partes da infra-estrutura de uma empresa, a segurança do software difere com cada aplicação exclusiva.
Melhorar a segurança do software envolve interagir diretamente com equipes de desenvolvimento interno, partes interessadas de negócios e fornecedores de terceiros, em vez de simplesmente a equipe de TI de back-end. Também significa integrar a segurança no ciclo de vida do desenvolvimento de uma forma que não se torne um estrangulamento para os ciclos de liberação rápida ou coloca tensão indevida sobre os recursos disponíveis e os orçamentos existentes.
O crescimento em aplicativos móveis, IoT e baseados em nuvem continuará afetando significativamente o cenário de risco de segurança de aplicativos, forçando as empresas a ampliar sua visão de segurança para abordar a camada de aplicação que pode expor dados confidenciais. Não sabendo como o orçamento adequado para a segurança do aplicativo tem em muitas organizações scanners ineficazes e insuficientes que só detectam metade das vulnerabilidades conhecidas - deixando um buraco enorme em qualquer programa de segurança.
Aqui estão algumas dicas úteis sobre como criar um orçamento efetivo de segurança de aplicativos, que pode escalar facilmente para atender tanto à segurança de aplicativos quanto a objetivos de negócios de uma organização agora e no futuro.
1. Investir em métricas
As métricas conduzem a ação e permitem quantificar seus objetivos. Não caia na armadilha como 77% das instituições financeiras que dependem de uma série de vulnerabilidades. Crie conjuntos específicos de controles de segurança para cada aplicativo e foque se eles são implementados. Use o teste de segurança no final para validar o controle. Invista em pessoas, ferramentas e processos que apoiem isso. Ausente de métricas relevantes? Você não terá um processo de governança efetivo e você não impulsará mudanças no processo de desenvolvimento da sua organização.
Leia "como medir qualquer coisa no risco de segurança cibernética" e determine como se afastar dos valores de risco ordinário, como baixo, médio e alto e adotar métricas que a placa entenderá: perda esperada.
2. Eduque sua equipe
Você enfrentará uma forte resistência ao seu programa de segurança de aplicativos em seus primeiros anos. Na nossa pesquisa, descobrimos que todas as empresas que implementaram efetivamente um programa de segurança de aplicativos investiram na educação de executivos de tecnologia, líderes de unidades de negócios e equipes de engenharia especificamente em desenvolvimento seguro. É um pré-requisito para obter aceitação de novas atividades.
3. A armadilha de três provas
Muitas empresas investem todo seu orçamento limitado de segurança de aplicativos em três formas de teste: SAST, DAST e testes de penetração. Enquanto os três têm valor, depender deles exclusivamente o deixa exposto. Os dados de Whitehat e Veracode sugerem que metade de todas as vulnerabilidades detectadas não são médicas. Dos que são remediados, as vulnerabilidades permanecem em produção por mais de 300 dias em média. Certifique-se de que seu programa pode lidar com vulnerabilidades em tempo real na produção. Use RASP, WAFs ou produtos de segurança de rede para garantir que você possa virtualmente corrigir seu software. Atividades que podem ser escaladas: gerenciamento de requisitos de segurança de software e / ou modelagem de ameaças com o suporte a ferramentas para que você tenha menos vulnerabilidades, são itens que podem ser deslocados para o foco de atenção.
4. Contrate as pessoas certas
A segurança da aplicação é complexa. A implantação de qualquer processo ou ferramenta do mundo real começa com o talento certo no lugar. Certifique-se de que você esteja adequadamente equipado com os conjuntos de habilidades adequados. Empregue treinamento especializado ou use fornecedores terceirizados para cobrir lacunas.
5. Deslocar o risco
O software de terceiros é um dos maiores riscos para sua organização. Porções significativas do seu orçamento de segurança da informação provavelmente irão gerenciar o risco desse software de terceiros. Tome medidas para mudar um pouco desse risco de volta. Você provavelmente possui processos de gerenciamento de segurança de fornecedores com base em padrões amplos como o ISO 27001/2. Provavelmente tem algum tratamento da segurança do aplicativo, mas não é o suficiente para cobrir a amplitude das atividades SDLC seguras que você precisa de um fornecedor de software. Exigir que os fornecedores, incluindo os fornecedores SaaS, apliquem uma estrutura de segurança de software mais robusta, como ISO 27034, vBSIMM ou SDL da Microsoft.

Você pode fazer isso de três maneiras: 1. Exigir que os fornecedores de software adotem essa estrutura na linguagem contratual; 2. Incluir esses quadros em critérios de RFP; 3. Solicitação para ver detalhes seguros do SDLC de fornecedores existentes. Você pode não ter alavancagem suficiente para que os fornecedores alterem suas práticas por conta própria, mas, se os clientes dos fornecedores fizerem as mesmas perguntas, suas equipes de gerenciamento de produtos tomarão conhecimento.

APIs - REST API