Como construir uma cultura de segurança
Publicados: 2016-03-01
5 maneiras pelas quais as empresas em crescimento podem incorporar a segurança em sua cultura e produtos
Decidir por onde começar quando se trata de segurança pode ser um desafio para empresas em crescimento.
Para ajudar a aliviar a dor, a Federal Trade Commission no início deste mês organizou uma conferência focada em fornecer às startups dicas e estratégias práticas para implementar uma segurança de dados eficaz (nós estávamos lá!). A conferência reuniu especialistas do setor, incluindo engenheiros de software, acadêmicos e advogados (sem mencionar uma sessão sobre como fazer um caso de negócios para segurança, com a diretora de privacidade da TUNE, Saira Nayak )
Start with Security nos ensinou que, embora nada possa realmente substituir um programa de segurança desenvolvido profissionalmente e ajustado aos riscos que sua empresa enfrenta, há muitos recursos gratuitos ou de baixo custo disponíveis para ajudá-lo a começar a desenvolver um programa de segurança agora — em uma forma que também envolve seus funcionários para ajudá-lo a reduzir os riscos de acesso não autorizado ou violação de seus valiosos dados corporativos e de clientes.
Como alguém que passou os últimos 10 anos de engenharia de produtos com empresas que variam em tamanho de startup a empresa, achei o conteúdo e os recursos oferecidos neste evento altamente relevantes. Aqui estão alguns dos meus tópicos favoritos para empresas que precisam começar a construir segurança em sua cultura e produtos.
Comece com segurança
E se você não tiver orçamento para contratar uma consultoria de segurança para analisar seus sistemas e local de trabalho para avaliar e mitigar a segurança e outros riscos? Não deixe que o perfeito seja inimigo do bom!
Existem muitos recursos gratuitos disponíveis para ajudá-lo a criar um programa de segurança. Comece com a FTC, que publicou vários recursos gratuitos, incluindo um suplemento para este evento, Start with Security, a Guide for Business . Ele fornece um bom começo para ajudá-lo a começar a pensar sobre os problemas de segurança específicos do seu negócio.
Crie segurança em seu pipeline
Um recurso fantástico, testado e gratuito para trazer segurança ao seu processo e pipeline de desenvolvimento é a estrutura de ciclo de vida de desenvolvimento de segurança da Microsoft, que foi adotada por empresas de todos os tamanhos e estágios de crescimento para melhorar a segurança e a privacidade de seus aplicativos.
Junto com a estrutura SDL, a Microsoft oferece a SDL Threat Modeling Tool que pode ser usada por desenvolvedores ou arquitetos de software para identificar e mitigar possíveis problemas de segurança no início do processo, quando sua resolução for mais econômica.
Melhore a segurança do software
O Open Web Application Security Project é uma organização mundial sem fins lucrativos focada em melhorar a segurança de software; o OWASP Top 10, que destaca as 10 principais falhas de segurança de aplicativos, pode fornecer uma avaliação rápida de onde suas práticas se comparam a um padrão do setor. O OWASP 10 inclui descrições de cada risco, juntamente com exemplos de vulnerabilidades e ataques, orientações sobre como evitar esses riscos de segurança e referências a recursos relacionados. Existe até um jogo de cartas Cornucópia para ajudar a testar seus conhecimentos.
Abordar o OWASP Top 10 em sua organização pode ajudar bastante a mitigar as vulnerabilidades com maior probabilidade de afetar seu aplicativo. OWASP hospeda capítulos locais em muitas regiões do mundo - que também podem oferecer oportunidades para sua equipe de engenharia ensinar, aprender e inspirar com outras pessoas em sua comunidade.
Treine seus engenheiros
Para um conjunto mais estruturado de ferramentas de treinamento em engenharia de segurança, uma opção fantástica é oferecida pela SAFECode, uma organização sem fins lucrativos global liderada pelo setor que se dedica a identificar e promover as melhores práticas para fornecer software, hardware e serviços seguros e confiáveis. Eles oferecem cursos gratuitos de treinamento em segurança de software por meio de webcasts sob demanda e publicam uma estrutura para a criação de um programa de treinamento em engenharia de segurança corporativa que pode ser usado como um complemento a uma iniciativa formal de treinamento em engenharia.
Todos os cursos SAFECode são gratuitos e publicados sob uma licença Creative Commons, o que significa que você pode integrar esses cursos em sua estrutura de treinamento existente, desde que atribua corretamente a fonte.
Torne a segurança divertida
Ao incorporar a segurança em sua cultura, é importante apresentar os riscos de segurança e as práticas recomendadas de maneira acessível e envolvente. Usar jogos como uma ferramenta em seu programa de segurança é uma ótima maneira de tornar o treinamento de segurança divertido e acessível e construir a segurança em sua cultura de maneira não ameaçadora. Uma maneira de gamificar a segurança é incentivar e recompensar os funcionários que adotam as melhores práticas. Esses incentivos podem ser incorporados a treinamentos para abordar riscos de segurança, como acesso físico, engenharia social e vulnerabilidades de software e pilha de tecnologia.
O jogo de cartas Elevation of Privilege da Microsoft é uma maneira fácil de familiarizar as equipes de engenharia com a modelagem de ameaças, um componente central do Microsoft SDL e programas e estruturas de segurança semelhantes. A EoP apresenta aos engenheiros as categorias de ameaças STRIDE (spoofing, adulteração, repúdio, divulgação de informações, negação de serviço e elevação de privilégio). Este jogo foi desenvolvido pela Microsoft e publicado sob uma licença Creative Commons. Está disponível para download ou compra gratuita .
Meça seu progresso
Depois de abordar o treinamento e o processo em sua organização, outra oportunidade de criar segurança em seus produtos é por meio de ferramentas de análise estáticas e dinâmicas. Sua escolha de ferramentas dependerá em grande parte da pilha de tecnologia que você está usando, mas muitas ferramentas gratuitas de código aberto estão disponíveis e permitem que você execute análises em sua base de código para verificar se as técnicas de segurança foram implementadas corretamente. Essas ferramentas de análise não são uma panacéia, mas fornecem uma camada adicional de proteção em seu programa de segurança.
Conclusão: Faça da segurança uma prioridade
Esteja você tentando conquistar a confiança e os negócios de clientes maiores ou tentando se preparar para uma saída, construir uma cultura de segurança é um ativo que precisa ser uma parte essencial de seu crescimento e estratégia de negócios de longo prazo. Tornar alguém responsável pela segurança e construir uma organização focada em segurança e governança de dados é fundamental.
Conquistar negócios corporativos geralmente significa fornecer a seus clientes que você tem as práticas de segurança corretas (e verificar isso por meio de auditorias e questionários de segurança detalhados). Ter a segurança incorporada em seu pipeline de desenvolvimento desde o início facilita muito esse processo de auditoria e investigação.
À medida que sua empresa amadurece e a aquisição entra em cena, ter um forte programa de segurança o ajudará a navegar no processo de diligência e o tornará mais atraente para os investidores. Outra razão para começar com segurança agora, não mais tarde. Você fará o trabalho necessário para evitar a probabilidade de algo catastrófico, como uma violação de dados. E, claro, todos sabemos que neste mundo de violações bancárias e de varejo, os clientes preferem organizações que tenham fortes práticas de segurança.
Saiba tudo sobre dados e privacidade do TUNE, incluindo o compromisso de dados do TUNE. Gostou deste artigo? Inscreva-se para receber nossos e-mails de resumo do blog.