A segurança de software permanece sendo um dos maiores desafios enfrentados pelas organizações, com implicações diretas para a continuidade e confiabilidade dos negócios. De acordo com o State of Software Security, Report da Veracode, 76% de todas as aplicações possuem ao menos uma vulnerabilidade, destas, 24% são consideradas críticas, apresentando sérios riscos às empresas que dependem dessas aplicações. Esses dados reforçam a urgência de uma abordagem sólida e contínua para a segurança de aplicações (Veracode State of Software Security Report).
A conscientização de desenvolvedores sobre essas vulnerabilidades, juntamente com a técnica de 'shift-left' — que propõe a detecção precoce de falhas de segurança durante as fases iniciais do ciclo de desenvolvimento — têm sido amplamente discutidas. Contudo, existe uma outra questão que é igualmente importante: a conscientização das equipes de segurança da informação sobre o ciclo de desenvolvimento de software. Sem essa compreensão, frequentemente os programas de AppSec não avançam de forma eficaz.
Ao longo dos últimos anos, líderes de segurança desejam fortalecer suas áreas de AppSec, mas enfrentam dificuldades ligadas à falta de entendimento do ciclo de desenvolvimento de software. Para que planos de AppSec se concretizem, é fundamental que a equipe de segurança esteja capacitada. Em áreas multidisciplinares, o primeiro passo crucial é aproximar as equipes, de forma que ambas entendam as atividades e desafios umas das outras. Esse princípio, que é bem estabelecido no DevOps, também deve ser aplicado no DevSecOps, buscando eliminar silos entre desenvolvimento e segurança.
Outro aspecto essencial para o sucesso de um programa de AppSec é o alinhamento tático e estratégico que deve englobar todas as áreas, desde os negócios até os membros dos times de segurança e desenvolvimento. Esse alinhamento assegura que cada área compreenda seu papel no processo de segurança. A tecnologia desempenha um papel vital nesse contexto, não apenas automatizando validações de segurança e garantindo que o fluxo de desenvolvimento não seja engessado, mas também permitindo a medição de KPIs previamente definidos com os stakeholders, o que assegura que o progresso das iniciativas de segurança seja monitorado de forma contínua, permitindo ajustes rápidos e eficazes.
O sucesso de um programa de AppSec repousa sobre três pilares essenciais: tecnologia, processos bem definidos e pessoas capacitadas e engajadas. Muitas empresas conseguem avançar em tecnologia, mas enfrentam desafios significativos em relação aos pilares processos e pessoas. Embora a conscientização dos desenvolvedores seja essencial para elevar a maturidade do programa, é comum ver empresas que, mesmo com investimento em tecnologia e pessoas, ainda falham no sucesso total do AppSec. Compreender os processos atuais é essencial para propor melhorias que incorporem segurança de forma eficaz e sustentável.
É importante destacar que muitos times de desenvolvimento adotam metodologias ágeis, que priorizam ciclos curtos de desenvolvimento, flexibilidade e respostas rápidas a mudanças. Essas práticas, descritas no Manifesto Ágil de 2001, valorizam a colaboração entre equipes e a capacidade de adaptação. No contexto de correção de vulnerabilidades, isso significa que, se as correções não forem devidamente planejadas e incluídas nas sprints, provavelmente não serão tratadas com a devida prioridade (Agile Manifesto).
Portanto, é essencial que a equipe de segurança compreenda esses fluxos de trabalho e, em parceria com os times de desenvolvimento, defina processos claros que incluam a correção de vulnerabilidades. De acordo com as boas práticas do OWASP Software Assurance Maturity Model (SAMM), e com base nas diretrizes do NIST SP 800-218, as seguintes ações são recomendadas:
Entender o fluxo de desenvolvimento de software da equipe;
Preparar a organização para a segurança de software;
Sensibilizar as áreas de negócios e gestão;
Implementar revisões de segurança contínuas;
Definir processos claros para a correção de vulnerabilidades;
Acompanhar as sprint reviews para garantir que as vulnerabilidades estão sendo tratadas.
Por fim, é crucial lembrar que a responsabilidade de sensibilizar a diretoria e as áreas de negócios sobre a importância de um programa de AppSec recai diretamente sobre a equipe de segurança da informação. No entanto, para que esse discurso seja persuasivo e embasado, os próprios times de segurança precisam estar devidamente capacitados sobre o tema. A falta de conhecimento adequado pode fazer com que as iniciativas de segurança sejam percebidas como custosas ou inviáveis, levando ao cancelamento de projetos e, consequentemente, à exposição de riscos críticos não tratados.
Capacitar continuamente a equipe de segurança da informação em AppSec não é apenas necessário, mas essencial para garantir que as melhores práticas sejam implementadas e que o programa de segurança tenha o suporte necessário em todos os níveis da organização. Para facilitar esse processo e garantir que o conhecimento seja atualizado e bem aplicado, as organizações podem contar com consultorias especializadas, que são a ferramenta valiosa para auxiliar na formação das equipes e na condução da empresa em direção a um desenvolvimento seguro e eficiente.
Michele Pasini, arquiteta de Segurança Cibernética da Service IT.
