• O Estado Atual da Segurança das Aplicações

    Uma nova pesquisa que foi realizada recentemente pela Security Innovation, juntamente com o Ponemon Institute, oferece uma melhor maneira de entender a maturidade do programa de segurança de aplicativos das organizações, em comparação com as competências essenciais de organizações de alto desempenho. Nesse contexto, 642 profissionais da área de TI (ocupando posições de executivos e técnicos), foram entrevistados, aos quais foram feitas perguntas específicas sobre uso de ferramentas, sobre o conhecimento da equipe de desenvolvimento, políticas de segurança de aplicações e melhores práticas de codificação seguras.

    Este relatório emitido pelas empresas envolvidas no levantamento, mediu as atividades de segurança em cada fase de desenvolvimento de software, além de incluir as lacunas identificadas que acabam criando riscos para a organização. A constatação principal, é que há uma percentagem muito maior de entrevistados de nível executivo que acredita que a sua organização está seguindo os procedimentos de segurança em todo o seu SDLC (ciclo de desenvolvimento de software), do que os técnicos que executam essas atividades.


    Percentuais de Confiabilidade Entre Executivos e Técnicos

    Entre os resultados da pesquisa, ficou constatado que 71% dos executivos entrevistados acredita que o treinamento de segurança de aplicativos esteja disponível na organização, e até o presente momento, apenas 20% da equipe técnica concordou com as respostas dadas pelos executivos; 67% dos executivos entrevistados sente que existe um programa de segurança de aplicativos melhor elaborado em sua organização, em comparação com 33% da equipe técnica.


    Na sequência, 75% dos executivos acredita que uma forte arquitetura de segurança existe em sua organização, em oposição a 23% da equipe técnica; 75% dos executivos entrevistados acredita, fortemente, que as equipes de desenvolvimento são medidas para determinar a conformidade com os padrões de arquitetura seguras versus 23% do pessoal técnico.

    "A pesquisa mostrou que a camada de aplicação é responsável por mais de 90% de todas as vulnerabilidades de segurança existentes, e ainda há mais de 80% dos gastos com TI que são relacionados `s área de segurança", disse Dr. Larry Ponemon, fundador do Instituto Ponemon. "Esperamos que nossos resultados possam estimular a conscientização da importância da segurança de aplicativos, como parte da estratégia de gestão de risco global de uma das organizações, e incentivo ao diálogo entre os executivos e profissionais para garantir um entendimento comum de como construir e implantar aplicações de software mais seguras"."Estes dados coletados mostram que muitas organizações ainda não consideram a necessidade de, proativamente, fazer algo sobre a a segurança dos aplicativos. Estas organizações não percebem ou fingem que não percebem que os aplicativos representam a maior ameaça para o seu negócio", disse Ed Adams, CEO da Security Innovation.

    "Ambas as mentalidades são exatamente a razão pela qual os crackers continuam a atingir a camada de aplicação com sucesso, o que torna ainda muito mais fácil penetrar através de um bypass nas defesas de rede. Entretanto, uma boa parte dos técnicos parece entender isso; no entanto, os executivos, que possuem um orçamento, tem claramente uma percepção diferente", acrescentou Adams.

    Além disso, a maioria das organizações não se preocupa em identificar, medir ou compreender os riscos de segurança da aplicação. As características mais comuns de organizações de alto desempenho com relação a segurança da aplicação, incluem a criação ou adoção de padrões de segurança de aplicativos, treinamento para os papéis diversos, plataformas e tecnologias, e avaliações periódicas para identificar deficiências. Esta pesquisa confirma que a maioria das organizações estão falhando em relação a alguns quesitos, tais como:


    Normas e Políticas

    De acordo com os resultados, a maioria das organizações não tem um processo de desenvolvimento de software definido no lugar, e para aquelas organizações que fazem-no, as políticas e os requisitos de segurança são muitas vezes ad-hoc e não integrados no SDLC. A falta de políticas e requisitos consistentes, torna difícil o trabalho de identificar e corrigir as tantas vulnerabilidades de segurança existentes nestes ambientes. Apenas 43% das organizações possui políticas de segurança de aplicativos corporativos, e 42% dizem que suas organizações têm requisitos de segurança formais, como parte do processo de desenvolvimento.


    Treinamento e Educação

    Apesar da rápida mudança que vem ocorrendo na tecnologia e do surgimento de novas plataformas como cloud e mobile, a maioria das organizações não tem ainda um programa de treinamento de segurança, e nem mesmo um pedido formal para que isso seja feito. Relacionado a essa questão, mais de 80% da equipe técnica relatou que as organizações onde trabalham, não estão atualizando os programas de formação e educação para suas equipes de desenvolvimento. Surpreendentemente, há um percentual entre 66% e 71% dos executivos e diretores que acha que os programas de treinamento interno estão sendo devidamente atualizados - e este é exatamente o grupo que aprova o que vai ser gasto a partir do orçamento que controlam.


    Mensuração e Avaliação

    Apesar das muitas violações públicas e ataques que tem sido constantemente relatados, a maioria das organizações ainda não está testando suas aplicações de segurança como deveria. Além disso, apenas 43% dos entrevistados disse existir, na organização onde trabalha, um processo elaborado com a finalidade de testar a existência de vulnerabilidades, e apenas 41% dessas organizações está usando ferramentas de verificação automatizadas para aplicações de testes durante o desenvolvimento. Além disso, apenas 42% das aplicações estão sujeitas a uma certa quantidade de testes de penetração ou outro tipo de esforço realizado por equipes internas, ou até mesmo por um terceiro.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/secworld.php?id=15476

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L