Avaliação de Segurança de Sistemas

Avaliação de Segurança de Sistemas

Esses relatórios, num primeiro momento, verificam a arquitetura ou projeto do sistema, identificando se as principais funcionalidades de segurança foram implementadas com controles adequados e dentro das regras recomendadas. O segundo passo é uma inspeção de código, ou análise estática de código-fonte, visando identificar falhas e pontos inseguros na codificação. Além de identificar código frágil, a inspeção do código permite, também, a identificação de backdoors e falhas deliberadas introduzidas pelo desenvolvedor no código do sistema. Finalmente, a análise é concluída com um teste de invasão do sistema, visando identificar se as falhas mais comuns e os ataques mais difundidos na internet poderão ser bem-sucedidos.


Qual a importância para a empresa?

A importância desse tipo de avaliação dos sistemas produzidos é evidente. Por melhor e mais capacitada que seja a equipe que desenvolveu o sistema, a chance de algum ataque recente ou falha não conhecida pela equipe impactar a segurança do seu sistema é grande. Tipicamente, a grande preocupação dos desenvolvedores é gerar sistemas que atendem às regras de negócio e passem nos testes funcionais. Porém, os testes funcionais são incapazes de pegar problemas latentes, como são todos os problemas de segurança, muito menos a introdução proposital de código malicioso pelo desenvolvedor.

Muitas empresas têm hoje o core de seu negócio baseado em sistemas. Uma falha de segurança num sistema pode gerar não só prejuízos significativos, como uma depreciação da marca da empresa difícil de reverter no futuro.


Quando a empresa precisa disso?

Sempre que um novo sistema for desenvolvido, seja externo, com visibilidade para o público, seja interno, sem essa visibilidade, sofrerá ataques ou fraudes internas significativas. Novas versões que promovam alterações grandes num sistema também podem trazer falhas, não presentes na anterior, sendo igualmente recomendável verificar se essas versões não apresentam falhas não existentes naquela originalmente avaliada.

Desafios e tempo de execução

Trata-se de um trabalho complexo, pois os sistemas não têm necessariamente a mesma necessidade de segurança. Não se pode exigir, em um e-commerce, voltado para o público externo, que o usuário utilize uma senha de quatorze caracteres, mas isso é muito importante em sistemas internos, acessados pelos funcionários. Sistemas diferentes têm diferentes necessidades de controles de segurança.


A avaliação de segurança de sistemas, portanto, passa pela avaliação dos objetivos de segurança da aplicação: onde a aplicação necessita de segurança e onde a segurança pode ser um impeditivo para aquela aplicação específica.


As atividades de análise também são extensas, pois a inspeção de código requer pessoal especializado e uma grande carga horária. Esse esforço pode ser menor utilizando-se ferramentas automatizadas de análise estática de código, como o Safeval, mas sempre exigirá um analista capacitado para sua execução. Também o teste de invasão requer ferramentas e operadores capacitados e atualizados para sua execução.


Como podemos ajudar?

A WAR oferece também serviços de avaliação de segurança de sistemas. O resultado do trabalho é apresentado e discutido com a equipe de desenvolvimento, resultando em um maior conhecimento desta sobre as fragilidades e aspectos de codificação segura.


Se existir a necessidade de treinamento da equipe para a produção de softwares mais seguros, ministramos curso de segurança no desenvolvimento de softwares, via EAD ou presencial.


Igualmente, podemos implementar um processo interno de avaliação de segurança junto às equipes de desenvolvimento, atuando conjuntamente para identificar as mudanças necessárias no processo de desenvolvimento, as ferramentas a serem adquiridas e o treinamento do pessoal em avaliação de segurança de aplicações.


A WAR oferece opções e modos de atuar com a melhor relação custo e benefício.