Treinamento e Certificação da GSI

Alcançar o nível necessário de entendimento e de especialização em segurança dos profissionais envolvidos num projeto de desenvolvimento é o primeiro passo para a adoção de um programa eficiente de melhoria da segurança das aplicações web. O desenvolvimento destas competências nos agentes do projeto reduzirá significativamente os riscos na entrega.

Cada membro do processo deve ser treinado nas medidas básicas de segurança em conformidade com os requisitos da política de Gestão da Segurança da Informação da empresa.

Cada participante envolvido num projeto de desenvolvimento de aplicações web é importante, mas vamos citar pelo menos três que consideramos os mais críticos:

Os Contratantes

Os responsáveis pela especificação e contratação do projeto geralmente negligenciam a segurança em nome de seu foco nos requerimentos funcionais do negócio, nos custos e no curto prazo de entrega.

Eles deveriam ser capazes de endereçar os requisitos mínimos de segurança que serão exigidos dos desenvolvedores, e poder medi-los na fase de aceitação da entrega.

Os Desenvolvedores

Estes normalmente orientam seu trabalho para atender aqueles requisitos funcionais e contratuais, enquanto consideram a Segurança como uma responsabilidade posterior da área da segurança da informação, ao invés de ser um aspecto importante do “Software Development Life Cycle” (SDLC). Isso é um erro grave.

Muitas vulnerabilidades exploráveis resultam da falta de adoção de critérios de segurança pelos desenvolvedores desde a especificação de requisitos, passando pelo desenho da aplicação, até sua implementação ou integração com outros sistemas. Muito disso se deve a uma lacuna generalizada nesta área de conhecimento do desenvolvedor.

Os Profissionais da Segurança

Na maioria das vezes são profissionais com formação e experiência em administração de sistemas e em arquitetura da infraestrutura, e a falta de conhecimento na área de segurança de software os leva a acreditar que administração de acesso de usuários e demais controles de segurança de rede e infraestrutura serão suficientes.

Isso pode levá-los a adotar medidas que até podem identificar falhas, mas, por falta de conhecimento específico, não conduzirá a uma correta avaliação do problema, como ocorre com um alarme que é considerado um falso positivo, e daí, o processo de segurança falha na orientação da ação corretiva que eliminaria os riscos de um eventual ataque.

Cada um destes profissionais deve ser treinado para conhecer as práticas de segurança exigidas de um projeto de desenvolvimento de aplicações web, cada um em seu nível de exigência de atuação.

É importante também monitorar a capacidade do desenvolvedor em produzir aplicações mais seguras, e de manter-se informado de novas formas de ataque sobre as aplicações web.