IG adota novo paradigma de segurança para aplicações Web

Projeto de segurança de serviços web do IG implantou em mais de 100 sites internos e externos um processo de avaliação da segurança em todo o ciclo de desenvolvimento, iniciando pela certificação das entregas na fase de homologação, e incluindo o monitoramento de risco de ataques nos ambientes de produção.

O portal ampliou significativamente os níveis de segurança dos serviços oferecidos aos usuários e tratou quase 24 mil vulnerabilidades de forma preventiva, este ano

O Portal IG – www.ig.com.br – adota o Sistema RedeSegura, da REDE SEGURA TECNOLOGIA, para ampliar a segurança das suas aplicações Web, que são as soluções desenvolvidas para criar e disponibilizar os mais variados serviços aos usuários, desde hospedagem, e-mail e backup até jogos e entretenimento. O projeto de segurança de serviços web implantou em mais de 100 sites internos e externos um processo de avaliação da segurança em todo o ciclo de desenvolvimento, iniciando pela certificação das entregas na fase de homologação, e incluindo o monitoramento de risco de ataques nos ambientes de produção. Para se ter uma ideia, até meados de 2011 o portal realizou 542 testes, aproximadamente 48 scans/mês, e encontrou 23.894 vulnerabilidades. Segundo o diretor de Tecnologia da Informação – CTO – do IG, André Galvani, todas foram tratadas de acordo com o grau de criticidade.

O portal do IG, criado em janeiro de 2000, recebe diariamente 2 milhões de visitantes únicos. Possui 8 milhões de usuários de variadas faixas etárias e níveis de formação que fazem diferentes usos dos serviços. Atualmente, são mais de 10 milhões de page views todos os dias. O principal aplicativo do IG é o e-mail, mas o portal tem a característica de ser um ISP – Internet Service Provider, o que explica a oferta de tantos serviços e a necessidade de manter níveis elevados de proteção. “Segurança não é uma questão simples, e nem se resolve apenas com investimentos em tecnologia e equipamentos de rede e servidores. É preciso pensar na segurança como um processo preventivo, integrado e dinâmico, que requer atualizações constantemente.” comenta Galvani.

O diretor comercial da REDE SEGURA TECNOLOGIA, Eduardo Lanna, explica que o Sistema RedeSegura aborda a questão da segurança a partir de um novo paradigma, norteado para atender as demandas de serviços web e necessidade crescente de interfaces interativas com os usuários, e pela necessidade de se antecipar aos riscos de ataques, que ocorrem devido à busca incessante dos hackers maliciosos por encontrar brechas na segurança. “O sistema RedeSegura propõe uma metodologia de segurança com um ciclo contínuo de melhoria da proteção da camada de aplicações, integrado à tecnologia N-Stalker, que foi desenvolvida no Brasil e é mundialmente reconhecida como uma das melhores soluções para análise de segurança em aplicações web”, explica Lanna.

O contrato foi assinado em julho de 2010, com serviços iniciados no mês seguinte, com o planejamento do processo de segurança, entrega do primeiro dispositivo Appliance local, e início dos testes de avaliação de um grupo de aplicações em produção. A partir daí os testes foram configurados e realizados pela equipe de suporte técnico conforme as equipes de desenvolvimento e de segurança do IG demandavam. “Um projeto desta magnitude requer planejamento e um cronograma longo, mas temos conseguido atender aos prazos previstos inicialmente”, acrescenta o executivo do IG.

A implantação do projeto contou com a orientação da equipe de Consultoria da REDE SEGURA TECNOLOGIA desde as etapas do seu planejamento e da devida adaptação ao cenário do ambiente do IG. Avaliou-se inicialmente o ambiente de produção para obter uma idéia imediata do grau de segurança que algumas aplicações apresentavam, e quais esforços seriam necessários adotar no desenvolvimento para realizar eventuais melhorias. Logo depois, outro Appliance na área de desenvolvimento foi ativado para que as avaliações também fossem feitas a cada entrega de novos projetos.

O principal resultado foi a melhora na qualidade das entregas do desenvolvimento. A equipe técnica do portal passou por um processo de aprendizado sobre o ciclo de desenvolvimento seguro, a partir da introdução da metodologia de segurança proposta pelo Sistema RedeSegura. Além disso, o IG conseguiu integrar as áreas de segurança, desenvolvimento e infraestrutura em torno deste processo de melhoria, e isso se refletiu na queda dos indicadores de incidentes com segurança, resultado de uma melhoria no grau de maturidade de seus processos internos da gestão de segurança de TI.

Segundo o diretor do IG a escolha da REDE SEGURA TECNOLOGIA se deveu ao uso da tecnologia N-Stalker, uma das melhores para varredura de vulnerabilidades na camada de aplicações web do mercado, e que tem o respaldo de mais de 10 anos de experiência em segurança na web. “Não compramos uma ferramenta. Contratamos uma metodologia que inclui tecnologia e equipe técnica de suporte qualificada, e que da forma como é proposta, realmente alcança resultados consistentes, em pouco tempo”, avalia e acrescenta: “a REDE SEGURA conseguiu unir a melhor tecnologia de avaliação de segurança com um time de suporte técnico qualificado, em torno de uma metodologia de segurança de aplicações que começa no desenvolvimento, alcança o ambiente de produção, e funciona como um ciclo contínuo de melhoria da segurança.”

O IG adota todas as melhores práticas de segurança de infraestrutura e rede recomendadas para um Portal Internet e também procura atender aos padrões de segurança recomendados pelas melhores práticas de mercado, como OWASP top10, e também o PCI-DSS quando necessário. E agora tem também este projeto de segurança de aplicações web orientado para o ciclo de desenvolvimento.

Sobre a REDE SEGURA TECNOLOGIA:
A REDE SEGURA TECNOLOGIA foi fundada pela N-Stalker, empresa com mais de 10 anos de experiência em segurança na internet, para licenciar com exclusividade o uso do Sistema RedeSegura, que implementa uma metodologia de segurança dirigida para as aplicações web e seus servidores. O uso do Sistema RedeSegura suporta o processo de Gerenciamento de Vulnerabilidades, criando um ciclo contínuo de melhoria da segurança que vai desde a avaliação da qualidade das entregas do desenvolvedor (QA de Segurança), até o Monitoramento do Risco de ataques no ambiente web de produção, cobrindo todo o ciclo de vida das aplicações web com avaliações de segurança recomendadas pela OWASP, o PCI-DSS, e SANS/FBI. A metodologia de segurança proposta pela REDE SEGURA TECNOLOGIA integra equipes técnicas multidisciplinares em torno de uma política de segurança abrangente, e em conformidade com melhores práticas, promovendo assim um avanço do Grau de Maturidade das empresas na Gestão da Segurança da Informação. Para mais informações: www.redesegura.com.br

REDE SEGURA DE TECNOLOGIA
Rua Funchal, 513 – 8º and. Cj. 82
São Paulo/SP – CEP: 04551-060
Tel.: +11 3044-1819
www.redesegura.com.br

MakingNews – Assessoria de Imprensa
Telefone: 11 – 3509-2109
Jornalista Responsável: Edilma Rodrigues
[email protected]

Fonte: http://itweb.com.br/voce-informa/ig-adota-novo-paradigma-de-seguranca-para-aplicacoes-web/