Português 
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Como os CISOs podem mudar da segurança de aplicativos para a segurança de produtos
As equipes de segurança de produtos estão se tornando mais populares pela abordagem de segurança aprofundada que adotam em comparação com as equipes de appsec. Mas há mais do que isso, que inclui a criação de uma cultura consciente da segurança.
Quer você chame isso de segurança shift-left, segurança incorporada ou segurança por design, as empresas com visão de futuro hoje entendem que precisam considerar a segurança durante todo o ciclo de vida, não apenas de aplicativos individuais, mas do produto de negócios que eles apoiar. Para fazer isso, um número crescente de empresas está usando equipes e responsáveis pela segurança de produtos como forma de efetuar essa mudança.
A segurança do produto expande o escopo da segurança de aplicativos tradicionais muito além dos testes e para os domínios da defesa, colaboração entre grupos de negócios, design thinking, modelagem de ameaças, planejamento arquitetônico e verdadeiro gerenciamento de riscos. “Ao participar ativamente de cada estágio do processo de desenvolvimento, a equipe de segurança do produto ajuda a incorporar considerações de segurança no design, arquitetura, codificação, teste e lançamento do software para produção”, afirma Chris Roeckl, diretor de produto da Appdome. “Esta abordagem proativa é um ciclo virtuoso e minimiza o risco de vulnerabilidades e garante que a segurança seja um aspecto integrante do produto final.”
Quando bem feita, a segurança do produto torna-se uma alavanca importante para cumprir as promessas feitas pelos defensores do DevSecOps há anos.
Embora a segurança de aplicativos e a segurança de produtos compartilhem uma singularidade de propósito – ajudar uma organização a lançar e manter software seguro – o papel que cada função desempenha para atingir esse objetivo é diferente. “A Appsec realmente se concentra em testes, validação e cadeia de ferramentas, enquanto a segurança do produto abrange as regras de negócios de todo o SDLC, incluindo aquelas partes humanas moles do desenvolvimento de software”, explica Michele Chubirka, defensora da equipe de segurança em nuvem do Google.
Além disso, enquanto a equipe de segurança de aplicativos se aprofunda em cada aplicativo individual que tem a tarefa de fortalecer, a segurança do produto tem uma visão geral, de ponta a ponta, da segurança de toda a pilha que ajuda a fornecer um determinado produto. “A segurança do produto é uma extensão da segurança do aplicativo. A segurança de aplicativos concentra-se em proteger o código e a funcionalidade de um único aplicativo de software”, afirma David Lindner, CISO da Contrast Security. “A segurança do produto tem uma visão holística de todo o produto tecnológico, considerando o ambiente mais amplo e os potenciais vetores de ataque que podem surgir das comunicações entre vários componentes.”
Esse ambiente mais amplo poderia incluir vários aplicativos ao mesmo tempo, componentes de hardware e serviços associados. A segurança do produto leva em conta sua postura de segurança à medida que são implantados juntos.
Para algumas empresas, a segurança do produto pode se concentrar exclusivamente em clientes externos, mas outras consideram até mesmo projetos internos, como sistemas financeiros back-end críticos ou sistemas de RH, como parte desse guarda-chuva de segurança do produto. De qualquer forma, a perspectiva de segurança do produto é mais abrangente, explica Sam Rehman, CISO da EPAM Systems, uma empresa global de desenvolvimento de software. “Isso envolve um escopo mais amplo, abrangendo controles operacionais e técnicos, o ambiente geral, as identidades dos clientes, bem como mecanismos de detecção e resposta a potenciais problemas no serviço”, afirma.
Uma maneira de pensar na diferença é imaginar os aplicativos como bolos, diz Christine Gadsby, vice-presidente de segurança de produtos do BlackBerry. A segurança da aplicação é semelhante a examinar um único bolo para ter certeza de que parece seguro e livre de contaminantes antes de servi-lo a alguém. Entretanto, a segurança do produto é o processo de melhorar a forma como a padaria faz os bolos e as ferramentas que utiliza para garantir que cada bolo seja seguro e saboroso. “A segurança do produto é mais uma abordagem de 'panorama geral' - todo o processo de cozimento do início ao fim e garantir que você implemente as ações e processos corretos em cada etapa para garantir que o bolo tenha exatamente a composição correta, atenda às necessidades delicadas e talvez uma palete sensível e permaneça 'fresca' ao longo de sua vida útil”, diz ela. “Como organização, uma equipe de segurança de produto deve considerar a segurança de uma lista completa de produtos ou sistemas e o que os clientes os utilizam, o que pode incluir vários ‘ingredientes’ ou vários bolos.”