• Embed Doc
  • Copy Link
  • Readcast
  • Collections
  • CommentGo Back
Download
 
UM NOVO CENÁRIO PARA A SEGURANÇA DE APLICAÇÕES
por Eduardo Vianna de Camargo Neves em 13 de julho de 2009
A origem do problema
Falar sobre Segurança de Aplicações hoje parece tão complicado quanto era defender o uso
de firewalls no final dos Anos 90. A maioria do público que paga essa conta não entende
como o processo funciona, e mais importante, não consegue entender em sua perspectivaqual é o valor deste tipo de iniciativa para a sua empresa. Discutimos sobre segurança
integrada, promovemos a proteção de ativos, mas no final do processo o que vale para queo investimento ocorra é responder a uma pergunta simples e que dificilmente r
ecebe umaresposta direta: quanto o seu cliente ganha com isso?Os gestores que lerem este parágrafo devem entender plenamente o que falo,especialmente se administram um orçamento que tem que ser diluído entre segurança edesempenho do Ambiente Informatizado. Entre promover um SDL na empresa que irá darresultados em vários meses ou atender a uma solicitação de usabilidade que irá facilitar avida dos vendedores, para onde você imagina que o dinheiro será direcionado? Entendoperfeitamente como essa dinâmica funciona, e por já ter vivido na pele por muitos anos,
concluo que a origem do problema está em nós, profissionais responsáveis pela Segurança
da Informação.Somos excelentes em falar sobre teorias para a proteção de quase tudo, mas por quefalhamos tanto em transformar este discurso para uma linguagem mais ampla? Longe deadotar uma postura arrogante - por mais que estes parágrafos introdutórios possamindicar comecei a aprender como esta lógica funciona depois de voltar para o mercado deserviços de consultoria. A realidade é mais simples que parece, mas cabe a nós aceitar oerro e procurar uma nova forma de mostrar o valor de nossa atuação.
O Cenário
Quando falamos de desenvolvimento de software, as características mais comuns para os
profissionais da área são a figura do analista de negócio, o desenvolvedor, a linguagem
adotada e a integração com os componentes da rede de dados. Colocar segurança nessaequação ainda é uma heresia para muita gente boa que trabalha com programação, e falarde segurança com propriedade para programadores, é algo que poucos em nosso mercadoconseguem fazer de forma adequada. Equilibrar este cenário é o primeiro passo paracaminhar com relativa tranquilidade para um processo de desenvolvimento seguro. Comoeu acho que isso pode ser alcançado?
 
CAMARGO NEVES RMSUM NOVO CENÁRIO PARA A SEGURANÇA DE APLICAÇÕES PÁGINA 2
Os Fundamentos Acadêmicos
 Vemos algumas palestras isoladas e trabalhos singulares sobre segurança em software, masquantas academias no Brasil mantêm uma cadeira sobre o assunto como parte de seuscursos de programação? Sim, cursos de programação e não de segurança, pois são estes osfuturos analistas e desenvolvedores que irão criar aplicações maravilhosas, epotencialmente recheadas de falhas de segurança.De acordo com o relatório 2009 Data Breach Investigations Report publicado anualmentepela Verizon Business, 79% dos arquivos furtados por atacantes foram comprometidos pelaexploração de SQL Injection. Utilizada em ataques, pelo menos, desde 2005, pode serprevenida pela forma como a aplicação interage com as bases de dados, mas exige:
 
Que o desenvolvedor conheça o ambiente onde a aplicação será executada, o que exigeinteração com as equipes de redes e bancos de dados.
 
Que a empresa responsável pelo desenvolvimento da aplicação entenda que isso deveser feito desde o primeiro design da solução, e não depois de ser comprometida.Entendo que este tipo de prática tem que ser levada imediatamente para as academias. Osprogramadores têm que aprender como desenvolver com um mínimo de segurança aindana faculdade, isso já deixou de ser uma especialidade há anos, pois é parte da qualidade doproduto que eles irão entregar assim como os valorizados critérios de usabilidade eatendimento aos requisitos de negócio. Aliás, não perder dinheiro não é um fundamento do capitalismo? Por outro lado, as pessoasque serão CIOs um dia, devem ter claro que alocar um determinado esforço para osprodutos serem criados de forma segura é parte de suas responsabilidades como gestores.E aí o processo extrapola a faculdade de ciências da computação e deve ir para
administração, finanças e outros cursos que formam os executivos das empresas.
Segurança há muito se tornou parte do processo de negócio das empresas, masinfelizmente esta premissa ainda não foi adotada por boa parte do mercado, como osresultados das pesquisas recentes corroboram.É hora de mudar essa postura de uma vez por todas, e talvez uma palavra que causaarrepios em alguns técnicos seja a solução:
compliance
. Se a Seção 404 do SOX era umacaixa preta para o mercado no começo dos anos 2000 pelo capacidade de interpretaçãodeixada pelo seu texto e a possível abrangência de seus controles, o PCI DSS é claro emdeterminar quais passos devem ser cumpridos para considerar um desenvolvimento seguroe quais pontos do ambiente que suporta uma aplicação devem ser considerados.
 
CAMARGO NEVES RMSUM NOVO CENÁRIO PARA A SEGURANÇA DE APLICAÇÕES PÁGINA 3
Claro que como todo padrão, o PCI DSS pode ser implementado de forma “para inglês ver”
mas como os resultados de um trabalho mal feito tem machucado seriamente tanto asempresas quanto os auditores responsáveis, o nível de seriedade que as empresas devemadotar irá subir naturalmente. Multas que podem ir de US$ 300 a US$ 600 por dadocomprometido e ter o nome da empresa exposto na imprensa de forma negativa nuncaserão pontos restritos ao departamento de TI.Compartilhar a responsabilidade pelo desenho, implementação e administração de umaaplicação que envolve os processos de negócio das empresas, é uma realidade nos projetosde ERP há muito tempo, e migrar esta abordagem para as aplicações é uma prática que asempresas deveriam adotar com relativa urgência. Se a crise econômica levou a estratégiacomercial a concentrar maiores esforços em vendas pela Internet, a exposição aumenta eessa urgência deve passar de relativa para imediata.Um bom exemplo que tem surgido nos últimos meses é a impressionante postura daHeartland Payment Systems no tratamento de um dos maiores vazamentos de dados dahistória. Quem está indo à público falar em nome da empresa é o CEO, queaproveita deforma corajosa a oportunidade de transformar o problema em um questionamento quepode resultar em um aumento da segurança para os processos que envolvam dados decartão de crédito.
O compartilhamento da responsabilidade
Na contra capa do livro Secrets and Lies, escrito pelo Bruce Schneier e publicado em 2000,
um comentário da Business Week é categórico: “Este é um problema de negócio, não
técnico, e os executivos não podem mais deixar essas deci
sões nas mãos de técnicos.” Mais
do que nunca, a necessidade de aderir a determinados padrões acaba forçando osmembros do corpo executivo das empresas a se envolverem com mais profundidade.
 Afinal, as multas aplicadas estão cada vez maiores.
 O termo
Return on Investment
, ou ROI, tem sido usado pelo mercado de segurança há anospar
a justificar a implementação de soluções que sem este acrônimo poderiam passar como
um custo ao invés de um investimento. Como a fórmula clássica de cálculo deste valor é
baseada em valores absolutos, existem discussões intermináveis entre profissionais da á
reaque defendem o uso desta métrica e outros que questionam a precisão do resultado. Eu meincluo entre o segundo grupo.Porém, se falarmos de Perda Realizada, onde os ativos são vendidos por um preço menorque o utilizado na compra, é possível ser mais preciso. A Cigital publicou uma pesquisa
intitulada “
Finding Defects Earlier Yields Enormous Savings
” onde chegou a um resultado
interessante, que independe de aderência a padrões.
of 00

Leave a Comment

You must be to leave a comment.
Submit
Characters: ...
You must be to leave a comment.
Submit
Characters: ...