Campeões de segurança
Com uma escassez de habilidades de segurança e uma explosão de desenvolvimento de software, é hora de ser criativo para espalhar habilidades e conhecimentos de segurança entre as equipes de desenvolvimento. Um programa de campeões de segurança está se tornando uma maneira popular de fazer isso, e esperamos ver mais desses programas em 2020. Em um relatório divulgado recentemente, Construindo um programa Enterprise DevSecOps, o analista de segurança Adrian Lane observa: “Conversei com três empresas de médio porte nesta semana – o pessoal de desenvolvimento variou de 800 a 2000 pessoas, enquanto as equipes de segurança variaram de 12 a 25. ”No mesmo relatório, ele diz ao designar campeões de segurança para equipes de desenvolvimento:“ Independentemente de como você faz isso, este é um excelente maneira de escalar a segurança sem reduzir o número de funcionários, e recomendamos que você reserve algum orçamento e recursos – ela gera muito mais benefícios do que custa. ”
Um campeão de segurança é um desenvolvedor com interesse em segurança que ajuda a amplificar a mensagem de segurança no nível da equipe. Os campeões de segurança não precisam ser profissionais de segurança; eles só precisam agir como a consciência de segurança da equipe, mantendo os olhos e os ouvidos abertos para possíveis problemas. Depois que a equipe estiver ciente desses problemas, poderá corrigir os problemas em desenvolvimento ou chamar os especialistas em segurança da sua organização para fornecer orientação.
Com um defensor da segurança, uma organização pode compensar a falta de cobertura ou habilidades de segurança, capacitando um membro da equipe de desenvolvimento para atuar como um multiplicador de forças que pode transmitir as melhores práticas de segurança, responder a perguntas e aumentar a conscientização sobre segurança.
Métricas que fazem sentido
Métricas – ou talvez mais precisamente, as métricas corretas – são cruciais para entender o que realmente está acontecendo no seu programa AppSec. Eles têm um objetivo duplo: demonstram o estado atual da sua organização e também mostram o progresso que estão alcançando para alcançar seus objetivos.
Por outro lado, focar nas métricas erradas pode levar à frustração, ao desengajamento e a um programa parado. Se você possui uma política excessivamente rigorosa do AppSec – por exemplo, “corrija todas as falhas encontradas em duas semanas” – suas métricas não mostrarão uma imagem bonita e seus desenvolvedores desistirão antes de começarem. Achamos que 2020 será o ano de acertar as métricas do AppSec com políticas inteligentes, viáveis e sensatas.
Cada vez mais veremos um foco em fornecer aos desenvolvedores dicas simples para incentivar o comportamento certo, mas de maneira realista. Por exemplo, as equipes começam classificando os bugs de segurança com maior prioridade, os que são importantes, mas não os limitadores de exibição, e os que, embora não sejam ideais, são aceitáveis. Especialmente para as duas primeiras categorias, eles monitoram o tempo médio para corrigir um bug de segurança, a linha de base e depois negociam metas para que engenheiros e proprietários de produtos possam se comprometer. Essas métricas podem ajudar a determinar a remuneração, mas talvez inicialmente estejam ligadas a benefícios mais brandos para a equipe.
Segurança em todo o pipeline
Estamos vendo as organizações começarem a criar segurança em cada fase do pipeline de desenvolvimento e esperamos ver mais dessa mudança em 2020. Desde as verificações pré-confirmadas no IDE (meu código), até as verificações no pipeline de IC ( nosso código), para varreduras de implantação no pipeline do CD (código de produção), os testes de segurança abrangem o código desde o início até a produção.
Dimensionamento
O DevSecOps não é mais um nicho – as organizações estão se movendo mais rapidamente e produzindo mais software do que nunca. Escalonamento é o nome do jogo AppSec em 2020. Os programas AppSec que são pesados ou lentos em escala não durarão nesta nova década. Quais são as chaves para escalar o AppSec?
Uma solução baseada em SaaS: o tempo e o orçamento necessários para dimensionar rapidamente uma solução local do AppSec a tornam mal equipada para um ambiente moderno do DevSecOps.
Ajuda de especialistas: a experiência externa do AppSec pode ser útil para ajudar a estabelecer as metas e o roteiro do seu programa de segurança. Mais importante, ele pode ajudar a manter seu roteiro no caminho, orientando os desenvolvedores na correção das falhas encontradas pelas suas digitalizações.
Campeões de segurança: Como discutimos na seção acima, os campeões de segurança serão essenciais para fazer mais com menos equipe de segurança.
Regulamentos
Cada vez mais regulamentos de segurança estão destacando especificamente a necessidade de segurança de aplicativos – do NIST ao PCI, NY DFS e GDPR. Por sua vez, a necessidade de processos de segurança de aplicativos documentados se tornará fundamental no novo ano. O Perfil de segurança cibernética do setor de serviços financeiros do FSSCC é um exemplo de como as empresas FinTech estão tentando unificar os padrões de relatórios para as várias estruturas regulatórias.
Demanda por software seguro
Os compradores de TI estão cada vez mais questionando a segurança do software que estão comprando. Se você não puder responder a perguntas sobre suas práticas de segurança ou não atender aos requisitos de auditoria de seus clientes, provavelmente terá oportunidades de vendas perdidas ou atrasadas. Em alguns casos, as perspectivas vão mudar para outro lugar. No entanto, os fornecedores que podem resolver essas questões de segurança de maneira rápida e eficaz se destacam entre os fornecedores e aproveitam a segurança como uma vantagem competitiva. Um relatório de pesquisa recente que conduzimos com a IDG constatou que 96% dos entrevistados têm maior probabilidade de considerar fazer negócios com um fornecedor ou parceiro cujo software foi verificado independentemente como “seguro”.
Além disso, graças à velocidade da entrega de software moderna, veremos os métodos para atestar a segurança da alteração de software. Por exemplo, antecipamos uma mudança para atestados baseados em processos, como prova da segurança do processo de desenvolvimento de um aplicativo (como no Veracode Verified), em vez de testes de caneta de terceiros pontuais. Os testes pontuais terão cada vez menos peso à medida que a velocidade das atualizações e alterações de software aumenta.
O que está por trás dessa demanda por prova de segurança? Isso decorre, em parte, de novos e mais terríveis impactos de violações de segurança. Quando a Target foi violada em 2013, criou manchetes por algumas semanas, mas na verdade não afetou seus resultados. Hoje isso mudou. Agora estamos vendo as aquisições fracassarem, os CEOs perdem empregos e os valores das ações são atingidos por causa de violações. Provar que seu software é seguro dará às empresas uma vantagem em 2020.
Fonte: https://www.veracode.com/blog/managing-appsec/appsec-themes-watch-2020
Posts recentes