Um Novo Cenário para a Segurança de Aplicações

456 visualizações

Publicada em

Publicada em: Negócios
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
456
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
6
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Um Novo Cenário para a Segurança de Aplicações

  1. 1. Um Novo Cenário para a Segurança de Aplicações por Eduardo Vianna de Camargo Neves 13 de julho de 2009A origem do problemaFalar sobre Segurança de Aplicações hoje parece tão complicado quanto era defender o uso defirewalls no final dos Anos 90. A maioria do público que paga essa conta não entende como oprocesso funciona, e mais importante, não consegue entender em sua perspectiva qual é o valordeste tipo de iniciativa para a sua empresa. Discutimos sobre segurança integrada, promovemosa proteção de ativos, mas no final do processo o que vale para que o investimento ocorra éresponder a uma pergunta simples e que dificilmente recebe uma resposta direta: quanto o seucliente ganha com isso?Os gestores que lerem este parágrafo devem entender plenamente o que falo, especialmente seadministram um orçamento que tem que ser diluído entre segurança e desempenho doAmbiente Informatizado. Entre promover um SDL na empresa que irá dar resultados em váriosmeses ou atender a uma solicitação de usabilidade que irá facilitar a vida dos vendedores, paraonde você imagina que o dinheiro será direcionado? Entendo perfeitamente como essadinâmica funciona, e por já ter vivido na pele por muitos anos, concluo que a origem doproblema está em nós, profissionais responsáveis pela Segurança da Informação.Somos excelentes em falar sobre teorias para a proteção de quase tudo, mas por que falhamostanto em transformar este discurso para uma linguagem mais ampla? Longe de adotar umapostura arrogante - por mais que estes parágrafos introdutórios possam indicar comecei aaprender como esta lógica funciona depois de voltar para o mercado de serviços de consultoria.A realidade é mais simples que parece, mas cabe a nós aceitar o erro e procurar uma novaforma de mostrar o valor de nossa atuação.O CenárioQuando falamos de desenvolvimento de software, as características mais comuns para osprofissionais da área são a figura do analista de negócio, o desenvolvedor, a linguagem adotadae a integração com os componentes da rede de dados. Colocar segurança nessa equação aindaé uma heresia para muita gente boa que trabalha com programação, e falar de segurança compropriedade para programadores, é algo que poucos em nosso mercado conseguem fazer deforma adequada. Equilibrar este cenário é o primeiro passo para caminhar com relativatranquilidade para um processo de desenvolvimento seguro. Como eu acho que isso pode seralcançado?Os Fundamentos AcadêmicosVemos algumas palestras isoladas e trabalhos singulares sobre segurança em software, masquantas academias no Brasil mantêm uma cadeira sobre o assunto como parte de seus cursosde programação? Sim, cursos de programação e não de segurança, pois são estes os futurosanalistas e desenvolvedores que irão criar aplicações maravilhosas, e potencialmente recheadasde falhas de segurança.
  2. 2. Camargo Neves RMSDe acordo com o relatório 2009 Data Breach Investigations Report publicado anualmente pelaVerizon Business, 79% dos arquivos furtados por atacantes foram comprometidos pelaexploração de SQL Injection. Utilizada em ataques, pelo menos, desde 2005, pode ser prevenidapela forma como a aplicação interage com as bases de dados, mas exige: Que o desenvolvedor conheça o ambiente onde a aplicação será executada, o que exige interação com as equipes de redes e bancos de dados. Que a empresa responsável pelo desenvolvimento da aplicação entenda que isso deve ser feito desde o primeiro design da solução, e não depois de ser comprometida.Entendo que este tipo de prática tem que ser levada imediatamente para as academias. Osprogramadores têm que aprender como desenvolver com um mínimo de segurança ainda nafaculdade, isso já deixou de ser uma especialidade há anos, pois é parte da qualidade doproduto que eles irão entregar assim como os valorizados critérios de usabilidade eatendimento aos requisitos de negócio.Aliás, não perder dinheiro não é um fundamento do capitalismo? Por outro lado, as pessoas queserão CIOs um dia, devem ter claro que alocar um determinado esforço para os produtos seremcriados de forma segura é parte de suas responsabilidades como gestores. E aí o processoextrapola a faculdade de ciências da computação e deve ir para administração, finanças e outroscursos que formam os executivos das empresas. Segurança há muito se tornou parte doprocesso de negócio das empresas, mas infelizmente esta premissa ainda não foi adotada porboa parte do mercado, como os resultados das pesquisas recentes corroboram.É hora de mudar essa postura de uma vez por todas, e talvez uma palavra que causa arrepiosem alguns técnicos seja a solução: compliance. Se a Seção 404 do SOX era uma caixa preta parao mercado no começo dos anos 2000 pelo capacidade de interpretação deixada pelo seu textoe a possível abrangência de seus controles, o PCI DSS é claro em determinar quais passosdevem ser cumpridos para considerar um desenvolvimento seguro e quais pontos do ambienteque suporta uma aplicação devem ser considerados.Claro que como todo padrão, o PCI DSS pode ser implementado de forma “para inglês ver” mascomo os resultados de um trabalho mal feito tem machucado seriamente tanto as empresasquanto os auditores responsáveis, o nível de seriedade que as empresas devem adotar irá subirnaturalmente. Multas que podem ir de US$ 300 a US$ 600 por dado comprometido e ter onome da empresa exposto na imprensa de forma negativa nunca serão pontos restritos aodepartamento de TI.Compartilhar a responsabilidade pelo desenho, implementação e administração de umaaplicação que envolve os processos de negócio das empresas, é uma realidade nos projetos deERP há muito tempo, e migrar esta abordagem para as aplicações é uma prática que asempresas deveriam adotar com relativa urgência. Se a crise econômica levou a estratégiacomercial a concentrar maiores esforços em vendas pela Internet, a exposição aumenta e essaurgência deve passar de relativa para imediata.Um Novo Cenário para a Segurança de Aplicações Página 2
  3. 3. Camargo Neves RMSUm bom exemplo que tem surgido nos últimos meses é a impressionante postura da HeartlandPayment Systems no tratamento de um dos maiores vazamentos de dados da história. Quemestá indo à público falar em nome da empresa é o CEO, que aproveita de forma corajosa aoportunidade de transformar o problema em um questionamento que pode resultar em umaumento da segurança para os processos que envolvam dados de cartão de crédito.O compartilhamento da responsabilidadeNa contra capa do livro Secrets and Lies, escrito pelo Bruce Schneier e publicado em 2000, umcomentário da Business Week é categórico: “Este é um problema de negócio, não técnico, e osexecutivos não podem mais deixar essas decisões nas mãos de técnicos.” Mais do que nunca, anecessidade de aderir a determinados padrões acaba forçando os membros do corpo executivodas empresas a se envolverem com mais profundidade. Afinal, as multas aplicadas estão cadavez maiores.O termo Return on Investment, ou ROI, tem sido usado pelo mercado de segurança há anos parajustificar a implementação de soluções que sem este acrônimo poderiam passar como um custoao invés de um investimento. Como a fórmula clássica de cálculo deste valor é baseada emvalores absolutos, existem discussões intermináveis entre profissionais da área que defendem ouso desta métrica e outros que questionam a precisão do resultado. Eu me incluo entre osegundo grupo.Porém, se falarmos de Perda Realizada, onde os ativos são vendidos por um preço menor que outilizado na compra, é possível ser mais preciso. A Cigital publicou uma pesquisa intitulada“Finding Defects Earlier Yields Enormous Savings” onde chegou a um resultado interessante, queindepende de aderência a padrões.Quando existe um planejamento no desenvolvimento de aplicações, a média de falhasencontradas gira em torno de 200, a um custo de correção individual de US $ 977, o valor a serincluso no projeto para garantir um nível de segurança adequada é de US$ 195 mil. Quando oprocesso corretivo é desenvolvido em uma aplicação em teste o valor sobe para US$ 356 mil efinalmente para impressionantes US$ 2,1 milhões durante a fase de produção. Claro que oestudo foi feito em cima do mercado norte-americano e a diferença de mercado deve serconsiderada, mas a evolução de valores mostra claramente que: Quando o investimento em segurança durante o planejamento é deixado de lado, o produto poderá potencialmente ser vendido por um preço menor que o custo total de produção. Os custos com as perdas colaterais resultantes do desgaste de imagem da empresa, necessidade de alteração de infraestrutura para adequação de controles e revisão de códigos, só podem ser calculados posteriormente, diminuindo ainda mais a margem de lucro na comercialização do produto em questão.Se o seu concorrente tomar essa atitude, ele não só pode utilizar a questão da segurança comoum diferencial para investir na sua base de clientes como ainda adotar um preço de vendamenor, uma vez que tem uma perda potencial estimada menor que a sua.Um Novo Cenário para a Segurança de Aplicações Página 3
  4. 4. Camargo Neves RMSUm exemplo de como isso tem sido feito, é o uso de selos de garantia de segurança por algunsweb sites. Independente da forma como os controles por trás deste diferencial são tratados oconsumidor sente-se mais seguro em utilizar as empresas que vão neste caminho. E no final dascontas, é ele que define onde vai colocar o dinheiro.Adaptação para um novo modelo de negóciosA questão recorrente que já ouvi em clientes e da audiência em palestras que frequento é; naminha empresa isso nunca irá acontecer porque a equipe está mal dimensionada e mal dá contado trabalho atual, quem dirá de incluir segurança. Bem, isso com honráveis exceções é comumem todo o mundo. Já vi o mesmo cenário no Brasil, Estados Unidos e Europa, ou seja, está longede ser uma questão geográfica e sim um ponto da cultura empresarial.Porém, me parece que o discurso está equivocado, incluir segurança deve ser parte do trabalhoatual, e não um passo adicional. Quando uma empresa precisa investir em um novo negócio, elatem que alocar uma equipe adequada em tamanho e competências, além de precisar garantir aalocação de esforço adequada para que o negócio em questão chegue ao mercado na janela deoportunidade planejada. Você já viu um boteco passar do café coado para o espresso sem terque comprar uma máquina especial, contratar a consultoria para aprender a usar e comoresultado colocar o preço do novo produto de centavos para reais?Dimensionar a equipe para lidar com segurança é parte do processo, seja aumentando osquadros, alocando especialistas pontuais ou mesmo capacitando a equipe atual e dado tempopara que os projetos de desenvolvimento sejam feitos tendo a proteção adequada do produtofinal como uma de suas premissas. Isso já aconteceu quando passamos das linguagensdirecionadas para mainframe e começamos a nos especializar em modelos adequados para omundo on line. E ainda demos um passo atrás durante o bug do milênio, quando o salário dopessoal de COBOL e similares pulou em alguns meses.É uma evolução natural do mercado, e enquanto não for tratada dessa forma, os crackerscontinuarão a furtas dados para suportar crimes, e quem não se proteger deste cenário que estápor aí, verá os seus clientes migrarem para um modelo de negócio que atenda às suasnecessidades. Quando uma empresa não acompanha a evolução do mercado e reposiciona osseus produtos de acordo com os anseios dessa nova demanda, ela morre. É uma lei básica demercado, mas vale a pena relembrar sempre.Segurança em aplicações já deixou de ser um diferencial, é uma necessidade iminente emqualquer lugar onde os processos de negócio são baseados ou suportados por soluções de TI,nos dias de hoje, quase qualquer lugar.ConclusõesAlém dos valores já citados e referenciados ao longo dos parágrafos anteriores, o documentoThe Financial Impact of Cyber Risk apresenta 50 questões comentadas, onde destaco algunspontos para serem considerados neste escopo e utilizados por técnicos e gestores para umadiscussão em busca de soluções para a segurança de suas aplicações.Um Novo Cenário para a Segurança de Aplicações Página 4
  5. 5. Camargo Neves RMSRisco legalImagine o seguinte cenário, um cliente seu compra um produto na sua loja virtual e tem ocartão de crédito fraudado. Outro cliente, usa uma aplicação sua para gerenciar a força devendas, e os dados dos clientes dele são expostos na Internet por uma falha no controle deacesso. Com uma análise de segurança das aplicações em questão, não é difícil reproduzir oproblema e dar o suporte para que ele processe a sua empresa, pois a responsável pela falha foio seu produto, e não a forma como ele utilizou.Avaliar se isso é factível na sua empresa é uma questão de envolver os seus advogados ecolocar todos em uma sala para avaliar qual perda estimada existe e o quanto pode ser evitadopela adoção de controles proativos no desenvolvimento das aplicações. Com isso, é hora dechamar outra figura para a cena.Risco financeiroAlém dos impactos que podem ser imaginados de um ponto de vista legal, podemosaprofundar o questionamento para a ótica financeira. No final, o quanto irá custar uma falha desegurança oriunda das aplicações da sua empresa? O cálculo envolve bem mais do que aquestão anterior, pense em execução de seguros e em como a apólice foi contratada, elaabrange também mais uma pessoa para chamar à mesa.Segurança IntegradaEste é o momento de fazermos o nosso papel, cabe ao CSO e sua equipe discutir os pontos comos demais membros da empresa e juntos chegarem a uma postura positiva em relação aproteção das aplicações. Somente juntando esta audiência na mesma sala, existe a massa críticanecessária para um trabalho que todos compreendam e possam executar em conjunto.Liderar o processo para a tomada desta decisão é nossa função, temos que ser mais que simplestécnicos ou especialistas, afinal já fazemos parte dos processos de negócio de nossas empresas,por mais que alguns autores tentem colocar IT como um custo isolado e não algo como algoque vai de encontro ao fundamento do capitalismo: ganhar dinheiro com negócios queatendam à demanda do mercado.Sobre o AutorEduardo V. C. Neves, CISSP, trabalha com Segurança da Informação desde 1998. Iniciou suacarreira profissional em uma das principais empresas de consultoria do mercado brasileiro,posteriormente trabalhando como executivo de uma empresa Fortune 100 por quase 10 anos. Em2008 fundou uma das primeiras empresas nacionais especializada em Segurança de Aplicações ehoje se dedica a prestar serviços de consultoria nas práticas de Risk Management e BusinessContinuity. Serve ainda como voluntário no OWASP e (ISC)2 e contribui para iniciativas deevangelização nas práticas de proteção da informação para federações e associações no Brasil.Pode ser contatado pelo e-mail eduardo@camargoneves.com.Um Novo Cenário para a Segurança de Aplicações Página 5

×