 |
Desenvolvimento de software seguro para as organizações | |
 |
||
|
|
Por Ramiro Rodrigues  O Brasil está no caminho se tornar um pólo de exportação de serviços de T.I. com grande potencial de crescimento sustentado a custos competitivos. Essa é uma das previsões do instituto de pesquisas Gartner Group, que destaca um crescimento especifico na prestação de serviços de desenvolvimento de aplicativos (fábrica de software) principalmente para as empresas européias e americanas. Concomitantemente, a adoção de tecnologias inovadoras, como SOA – Service Oriented Architeture, que transforma as aplicações em serviços e componentes reutilizáveis, está na ordem do dia dos CIOs brasileiros pressionados por redução de custos, eficiência e aumento da eficácia na prestação dos serviços e na racionalização dos recursos de T.I., levando-os a considerar novos modelos de organização de seus sistemas de informação bem como a terceirização (outsourcing) de algumas funções de T.I. Esses modelos tecnológicos e de gestão levarão as organizações a uma necessidade maior de responsabilização pela segurança dos softwares desenvolvidos. Essas organizações não mais esperarão pela descoberta e exploração das vulnerabilidades dos softwares pelos hackers e crackers, e sim tomarão uma postura pró-ativa na forma como elas concebem, desenvolvem, operam ou terceirizam os softwares nos quais seus processos de negócios se apóiam. Para reforçar essa postura, surgiram requisitos regulatórios para alguns segmentos na tentativa de tornar as organizações mais responsáveis pelos seus softwares não seguros e pelas conseqüências e danos aos dados de seus clientes (ex. as ramificações dos requerimentos da Sarbanes-Oxley incluem os softwares e aplicações que tratam as informações das demonstrações financeiras). Nesse sentido, as iniciativas como classificação e proteção das informações, análise das vulnerabilidades dos softwares aplicativos, aplicação das políticas e gestão das identidades e dos acessos serão críticas para os próximos anos. Em se tratando de vulnerabilidades de softwares, alguns frameworks (Ex. COBIT, COSO e ISO 17799) de conformidade provêem alguma orientação sobre como desenhar e implementar os requisitos de compliance, bem como para um processo sistemático de gerenciamento de vulnerabilidades e segurança de software. Até recentemente, quando se falava em segurança de software não se obtinha muita atenção por se tratar de uma atividade pouco prática, entretanto, à luz do cenário regulatório e do nível de exposição aos riscos, as organizações devem incorporar um processo sistemático de segurança de software. Essas organizações precisarão de um processo prático, eficiente e mensurável para avaliar e validar a segurança de seus sistemas (softwares) críticos, tanto os novos quanto os do legado. Os gestores de segurança das organizações brasileiras (security officers) devem se preocupar em planejar e priorizar medidas que envolvam o departamento interno de desenvolvimento de sistemas ou seu fornecedor (fabrica de software) para garantir que os níveis de segurança sejam determinados e que as medidas que assegurem a segurança dos softwares sejam especificadas e seguidas. Essas medidas, como por exemplo a integração de controles de segurança, devem ser aplicadas a todo SDLC (ciclo de vida de desenvolvimento de software) e devem considerar a identificação, a mensuração e a de auditoria de vulnerabilidades nos códigos fontes. Algumas das principais vantagens para as organizações ao adotar um modelo de gestão de segurança de software: Melhoria da segurança: identifica e elimina as vulnerabilidades (no código fonte) antes que elas se tornem uma ameaça no ambiente de produção e de missão critica. Redução de custos: a identificação e a eliminação das vulnerabilidades do software antes dele ir para o ambiente de produção, trazem uma redução significativa nos custos de desenvolvimento, correções e respostas a incidentes. Demonstra a conformidade: Garante que o seu desenvolvedor (outsourced ou não) atende aos padrões de codificação segura. Valida os critérios de aceitação do software antes do seu desenvolvimento. Mensura e documenta o seu processo de gestão de segurança de software para atender os requerimentos de auditorias internas e regulatórias. É importante observar que não existe um nível de segurança único determinado para todas as aplicações e para a toda a organização. Tais níveis dependerão das necessidades específicas de segurança da aplicação e suas funções dentro do ambiente de negócios. Os níveis de segurança apropriados deverão ser determinados a partir das necessidades de negócios, análises dos riscos e análise de custo e do benefício. Com o aumento das fraudes, do custo da conformidade e dos custos de correções de vulnerabilidades, as organizações, através de seus security officers, devem adotar um modelo e desenvolver um processo sistemático para determinar os níveis apropriados de segurança e aplicar os controles durante todo ciclo de desenvolvimento dos aplicativos críticos que suportam os negócios da organização. Ramiro Rodrigues Executivo de projetos de Consultoria em T.I. e Segurança da Informação da CPM, tendo atuado em empresas como, PricewaterhouseCoopers e IBM.. Pós-graduado com MBA em Gestão de Segurança da Informação. Certificado PMP® - Project Management Professional pelo PMI , CISM® – Certified Information Security Manager pelo ISACA e CISSP® - Certified Information System Security Professional pelo ISC2.Professor da pós-graduação dos cursos de MBA – Gestão de Tecnologia da Informação e MBA – Gestão de Segurança da Informação da FIAP – Faculdade de Informática e Administração Paulista. |
Desenvolvimento de software seguro para as organizações
© Copyright 2010 Ramiro Rodrigues & ISACA Chapter SP
© Copyright 2010 Ramiro Rodrigues & ISACA Chapter SP
Fotos