Controles de Desenvolvimento Seguro

26 de abril de 2022
Adriano Martins Antonio

É importante começarmos falando sobre algo que nem sempre é óbvio: os gerentes responsáveis pelas aplicações também são responsáveis pela segurança do ambiente de projeto onde se desenvolvem as aplicações, assim como pelo ambiente onde se suportam as aplicações. Além disso, tais gerentes também determinam se as mudanças propostas podem comprometer a segurança.

Por exemplo, eles precisam determinar se o desenvolvedor do sistema possui medidas de segurança que obedeçam aos requisitos da própria organização. 

Entenda mais sobre esse assunto aqui.

Projetos de sistemas de informação seguros

Sabemos muitos sistemas de informação não visam a segurança em sua projeção. 

A segurança que os meios técnicos conseguem alcançar tem limite curto, e, por isso, precisa do apoio das gestões e procedimentos específicos.

Dessa forma, identificar quais controles aplicar requer um planejamento cuidadoso e atenção aos detalhes.

A gestão de segurança da informação requer, no mínimo, a participação de todos os funcionários da organização. Juntamente disso, pode exigir envolvimento de acionistas, fornecedores, terceiros, clientes ou outras partes externas. Também pode ser necessário aconselhamento especializado de outras organizações.

De toda forma, a gestão de segurança da informação estabelece a base para um programa de segurança abrangente, a fim de garantir a proteção dos ativos de informação da empresa.

Hoje, as organizações estão altamente interligadas por meio da internet. Praticamente nenhuma pode alegar que possui sistemas de computadores isolados.

Às vezes, uma empresa faz uma rigorosa separação entre a internet e a rede corporativa, mas mesmo assim, muitas vezes se estabelece uma ou mais conexões à internet. Isso se faz necessário para compreender os riscos para a empresa e como lidar com esses riscos.

O gestor de riscos tem que compreender os objetivos do negócio e deve saber como mitigar tais riscos, de forma que a empresa consiga implementar contramedidas de segurança sem que isso se torne um fardo para ela.

Portanto, a segurança da informação engloba os controles administrativos, técnicos e físicos necessários para proteger a confidencialidade, integridade e disponibilidade dos ativos de informação.

Os controles se manifestam através da implementação de políticas, procedimentos, padrões e diretrizes.

Leia sobre a Conformidade na Segurança da Informação.

Arquitetura de Sistema Seguro

 

Devem-se estabelecer princípios de engenharia de sistemas seguros, assim como manter e aplicar documentos a quaisquer atividades de desenvolvimento de sistemas de informação.

O intuito é óbvio: garantir uma projeção, implementação e operação com segurança dentro do ciclo de vida do desenvolvimento.

Assim, os princípios de engenharia segura fornecem orientação sobre técnicas de autenticação do usuário, controle de sessão segura e validação e higienização de dados. 

Os princípios de engenharia de sistemas seguros devem incluir a análise de:

  • Toda a gama de controles de segurança necessários para proteger informações e sistemas contra ameaças;
  • As capacidades dos controles de segurança para prevenir, detectar ou responder a eventos de segurança;
  • Controles de segurança específicos exigidos por processos de negócios específicos;
  • Onde e como aplicar os controles de segurança.

Outra avaliação é de como os controles de segurança individuais (manuais e automatizados) trabalham juntos para produzir um conjunto de controles.

Princípios de confiança zero

Aliás, a organização deve considerar princípios de “confiança zero”, como:

  • Assumir a possibilidade de violação prévia dos sistemas de informação da organização para, portanto, não depender de segurança do perímetro de rede sozinho;
  • Empregar uma abordagem do tipo “nunca confie e sempre verifique” o acesso aos sistemas de informação;
  • Garantir que as solicitações aos sistemas de informação sejam criptografadas de ponta a ponta;
  • Verificar cada solicitação a um sistema de informação considerando-a como uma origem de uma rede externa aberta, mesmo que essas solicitações tenham origem interna na organização;
  • Usar “menor privilégio” e técnicas de controle de acesso dinâmico.

Também, sempre autenticar solicitantes e sempre validar solicitações de autorização para sistemas de informação com base em informações.

Ainda, vale ressaltar também, que deve-se estabelecer e aplicar os princípios de engenharia de segurança quando for sugerível ao desenvolvimento terceirizado de sistema de informação, por meio de contratos e outros acordos vinculantes entre a empresa e o fornecedor para quem a organização terceiriza.

Saiba mais sobre a Segurança Cibernética na Cultura Organizacional.

Ciclo de Vida de Desenvolvimento Seguro

Enfim, a ideia é garantir uma projeção e implementação da segurança da informação dentro do ciclo de vida de desenvolvimento seguro de software e sistemas.

Portanto, o desenvolvimento seguro é um requisito para construir um serviço, arquitetura, software e sistemas seguros.

E se houver terceirização do desenvolvimento, a organização deve obter garantia de que o fornecedor cumpre as regras da organização para desenvolvimento seguro.

Com isso, o desenvolvimento também pode ocorrer dentro de aplicativos, como aplicativos de escritório, scripts, navegadores e banco de dados.

Em geral, os requisitos de segurança do aplicativo são determinados por meio de uma avaliação de risco, que devem-se desenvolver com o apoio de especialistas em segurança da informação.

Então, o desenvolvimento seguro é um tema de fundamental importância para as organizações e se torna algo cada vez mais complexo pela manipulação de uma quantidade cada vez maior de informações. 

Logo, para o sucesso do seu negócio, é necessário assegurar que esses dados estejam seguros.

Leia os outros textos do blog e se tiver alguma dúvida deixe nos comentários. 

Dica do tio Adriano: Para se qualificar neste e em outros temas de Segurança da Informação e Gestão de Serviços de TI, conheça o Programa Microlearning da PMG Prime. São mini cursos de capacitação que você vai concluindo e conquistando os certificados de conclusão. Toda semana tem conteúdo novo na plataforma. E você tem acesso a todas as trilhas de formação, por uma assinatura única mensal bem acessível. 

Blog

Gerenciamento de Vulnerabilidades

Todos os anos, descobrem-se milhares de novas vulnerabilidades, o que exige correções dos sistemas operacionais e aplicativos por parte das empresas, reconfigurando as configurações de

Leia Mais »
Blog

Que tipo de hacker você quer ser?

Geralmente, eu defino hacker como aquele indivíduo que usa um computador, uma rede ou outras habilidades para superar um problema técnico.  Porém, provavelmente você também

Leia Mais »
Blog

Controles de Desenvolvimento Seguro

É importante começarmos falando sobre algo que nem sempre é óbvio: os gerentes responsáveis pelas aplicações também são responsáveis pela segurança do ambiente de projeto

Leia Mais »

Deixe um comentário

O seu endereço de e-mail não será publicado.

Assine Minha Newsletter

Fique por dentro das novidades e receba conteúdos exclusivos em seu e-mail.

ESPERE!!!

Aulas de Cyber Security
AO VIVO E GRÁTIS

Conteúdo preparatório para Certificação Internacional de TI