Recomendações ISO/IEC

O grau de segurança de uma aplicação está intimamente ligado à sua capacidade de resistir aos ataques promovidos por agentes maliciosos sobre seu ambiente de produção.

Para obter um alto grau de segurança, é necessário adotar critérios robustos de segurança em todo o ciclo de vida do desenvolvimento da aplicação. Tal feito se alcança apenas com a adoção integrada de ferramentas e de processos igualmente robustos para sustentar o grau de segurança que se pretende atingir, e manter.

O Gerenciamento de Vulnerabilidades em Aplicações Web é úm processo preventivo de melhoria contínua que oferece suporte para sustentar suas melhores práticas de Gestão da Segurança da Informação, que podem ser baseadas nas práticas internacionais ISO/IEC (International Organization for Standardization/International Electrotechnical Commission):

ISO/IEC-27001:  Norma que trata de técnicas para implantação de um SGSI (Sistema de Gestão da Segurança da Informação)

ISO/IEC-27002:  Complementa a ISO 27001. Lista os objetivos de controle para o SGSI e recomenda um conjunto de especificações e melhores práticas para iniciar, implementar e manter o SGSI. Trata-se da nova denominação da ISO/IEC 17799:2000, lançada em 2005 e renomeada oficialmente como sua substituta em 2007.

ISO/IEC 27005: Information Security Risk Management. O propósito da ISO/IEC 27005:2008 é prover diretrizes para orientar e assistir a implantação de processos de Segurança da Informação baseados numa abordagem de Gerenciamento de Risco, suportando os conceitos gerais especificados na ISO/IEC 27001 e 27002.

ISO/IEC-17799: Foi substituída pela ISO/IEC-27002 após a revisão de 2007.

ISO/IEC-15408:  Common Criteria, é uma referência internacional para desenvolvedores, administradores e auditores de segurança para sistemas de informação. A Common Criteria simplesmente atesta que o produto de software (aplicação web) implementa um determinado conjunto de funcionalidades de segurança, mas não garante que o mesmo seja seguro apenas por conta disso.

A segurança de fato estará ligada à capacidade da aplicação web em resistir à tentativas de ataques a partir da interação com os usuários, logo, não basta apenas prever critérios e funcionalidades de segurança nas etapas de seu desenvolvimento.

É preciso avaliar a segurança das aplicações web depois de sua implementação no ambiente de produção, a partir do fluxo de interação com o seu usuário final, testando sua capacidade de resistir à simulação de ataques conhecidos. É exatamente isso que a metodologia de uso do Sistema RedeSegura propõe para manter seguras as aplicações web, como o Gerenciamento de Vulnerabilidades.

O Security Development Lifecycle (SDL) adotado pela Microsoft, para citar uma empresa mundialmente conhecida, é um ótimo exemplo de processo em que se inclui o Gerenciamento de Vulnerabilidades, com registro e documentação de evidências de falhas de segurança, e de ações de melhoria para remediar as falhas, além da salvaguarda necessária para evitar a introdução de novas falhas pelo desenvolvimento durante as ações de melhoria.

É com Gerenciando  de Vulnerabilidades em um ciclo de melhoria contínua que a Microsoft garante que seus produtos tenham atualmente um significativo sucesso na redução de problemas de segurança.