Grupo de Segurança de Software

SSG

Como parte do planejamento do processo de Gerenciamento de Vulnerabilidades da empresa, recomenda-se definir e organizar um grupo de profissionais engajados em promover as políticas de segurança em todo o ciclo de vida das aplicações web.

O grupo deve variar em função do tamanho da empresa, da complexidade de seu ambiente de infraestrutura e servidores, da quantidade de aplicações web, da estrutura da equipe de segurança e das equipes de desenvolvimento, locais ou terceirizadas.

Para apoiar o planejamento do Grupo de Segurança de Software (SSG – Software Security Group), sugerimos pensar em alguns níveis de autoridade, cada um com um papel no processo, conforme segue:

Gestores Executivos: Diretoria de TI, Auditoria e Compliance ou Executivos do Comitê Gestor da Segurança da Informação, Gerentes de Segurança de TI. Definem a estratégia, metodologia, políticas e métricas do processo.

Gestores Técnicos: Security Officer, e Gerentes ou Coordenadores responsáveis pela implantação dos processos de Segurança. Administram a operação da equipe local responsável pelos testes, ou os níveis de serviços contratados de terceiros para este fim.

Agentes de Segurança: equipe local ou terceirizada que opera o Sistema RedeSegura. Ajusta os parâmetros de teste, valida relatórios de vulnerabilidades, analisam evidências de falhas identificadas, obtém suporte técnico sobre recomendações de melhoria, e podem também executar testes de avaliação manuais (pen test), etc.

Equipe Técnica e de Desenvolvimento: desenvolvedores, arquitetos de software, e programadores, técnicos de infraestrutura e/ou de segurança. Executam as recomendações de melhoria indicadas nos relatórios de teste. Podem comandar novos testes já parametrizados para validar as melhorias realizadas em homologação.

Multiplicadores: pessoal responsável pelo treinamento de todos os agentes envolvidos no processo de Gerenciamento de Vulnerabilidades. Transferem conhecimento e a cultura da segurança de software para apoiar a melhoria contínua.

Dependendo da estrutura da empresa, alguns profissionais podem acumular mais de uma atividade prevista nos papéis sugeridos acima, enquanto outras atividades podem ser contratadas como um pacote de serviços profissionais oferecidos pela Rede Segura Tecnologia, ou nossos parceriros na área de Consultoria em Segurança.

Esta flexibilidade e capacidade de adaptação do Sistema RedeSegura ao processo de modo mais conveniente para sua empresa resulta num menor custo total de propriedade (TCO) do projeto de segurança de aplicações web, contribuindo para um melhor retorno de investimentos (ROI).

O pacote de Managed Security Services (MSS), por exemplo, permite incluir atividades para a gestão e operação do processo, como é o caso do Gestor Técnico, dos Agentes de Segurança, ou dos Multiplicadores.

Definidas as pessoas, a empresa deve escolher a metodologia de trabalho, que consiste nas iniciativas práticas para incluir segurança no ciclo de vida do desenvolvimento das aplicações.

O uso de metodologias como a DAST (Dynamic Application Security Test) e SAST (Static Application Security Test), ambas suportadas pelo Sistema RedeSegura, conduzem a resultados mais rápidos e consistentes.