Objetivo do Processo

Melhoria contínua da segurança

O processo de Gerenciamento de Vulnerabilidades de Aplicações Web é uma entre as várias iniciativas da empresa para implementar um framework mais amplo de Gestão da Segurança da Informação, que inclui ações orientadas para obter e manter a qualidade da Segurança de Software Web.

Objetivo: reduzir o risco de ataques e exposição dos ativos da empresa a partir da melhoria da segurança no ambiente das aplicações web.
Como alcançá-lo:
inclusão de requisitos de segurança em todo o ciclo de vida do desenvolvimento das aplicações web (SDLC – Software Development Life Cycle).
Metodologia:
adotar processo de Gerenciamento de Vulnerabilidades como um ciclo contínuo de melhoria da segurança das aplicações web, a partir de testes de avaliação e da medição de indicadores da segurança.

O processo começa com a definição dos seus objetivos, dos papéis e responsabilidades dos agentes, e então o planejamento do fluxo operacional que favoreça a melhoria contínua.

Todos os elementos do processo devem ser ajustados conforme a necessidade da empresa, considerando seu ambiente de negócios, valor dos ativos envolvidos, avaliação dos riscos, e outros fatores como equipe disponível, custos e regulamentação.

As iniciativas de segurança alcançarão resultados consistentes com o Gerenciamento de Vulnerabilidades das Aplicações Web, a partir dos seguintes sub-processos que o integram:

Qualidade Assegurada no Desenvolvimento (QA)divlar

Metodologia SAST (Static Application Security Test): avaliar a qualidade de segurança de software entregue pelo desenvolvimento;
Testar a cada atualização, manutenção, ou criação sobre a aplicação web;
Testes ocorrem logo depois de concluídos os testes funcionais do usuário (QA);
Etapa de testes “Black Box” precede a aceitação para entrada em produção;
Certificação de Segurança da Aplicação Web na fase de homologação.

 

Monitoramento do Risco de Ataques na Produçãodivlar

Metodologia DAST (Dynamic Application Security Test): avaliar continuamente o nível de risco da aplicação web em uso na produção;
Segurança de infraestrutura não basta se houver vulnerabilidades de segurança na aplicação web;
A base de assinaturas de ataques do RedeSegura é atualizada periodicamente;
Manutenção das políticas de segurança na Gestão de Mudanças e de Incidentes;
Certificação da Segurança da Aplicação Web em ambiente de produção.
.
O Sistema RedeSegura “powered by“ N-Stalker permite implementar estes dois sub-processos de forma centralizada, com integração de equipes multidisciplinares (desenvolvimento, infraestrutura e segurança), flexibilidade e capacidade de escala.
.

Assista ao nosso vídeo-2 no menu de vídeo-apresentações e saiba como abordamos este tema.