Carta aberta do OWASP ao Governo Brasileiro

OWASP (Open Web Application Security Project) é uma comunidade internacional aberta, com foco na melhoria da segurança dos sistemas de software na web. Em março de 2011 a divisão brasileira da comunidade publicou uma carta aberta ao Governo Brasileiro. É um documento de 18 páginas, apresentando questões sobre a atuação do governo na segurança da internet.

Inicialmente, o documento aborda a situação atual da web brasileira, apontando incidentes de segurança ocorridos recentemente, como por exemplo o pane nos sistemas do Detran e o vazamento de informações do ENEM. Além disso apresenta inúmeras e estatísticas como os incidentes reportados pelo CERT.br.Também é apresentado o Projeto OWASP e suas principais características, como o fato de que todas as suas ferramentas e documentos são gratuitos, além de usarem licença de software livre ou Creative Commons.

Na sessão “O que pode ser feito?”, o documento faz uma série de recomendações, divididas conforme o foco de cada órgão governamental:
Legisladores
  • Permitir e incentivar pesquisas sobre ataques e defesas cibernéticas
  • Requerer a publicação de avaliações de segurança
  • Responsabilizar organizações que não tratem com diligência os aspectos de segurança de aplicações
  • Exigir que a administração pública tenha acesso às atualizações de segurança de qualquer software durante a sua vida útil
  • Exigir a abertura do código fonte de aplicativos utilizados pela administração pública cuja vida útil tenha terminado
  • Eliminar licenças de software que isentam os fabricantes da responsabilidade com a segurança de seus produtos
Defesa do Consumidor
  • Atuar para restringir o uso de licenças de software abusivas
  • Exigir que os fabricantes divulguem informações inteligíveis sobre o nível de segurança de seus produtos e/ou serviços
  • Exigir um nível adequado de segurança de sistemas que lidem com dados que possam afetar a privacidade dos consumidores ou cidadãos
  • Definir que os consumidores devem ser informados dos possíveis usos dos dados inseridos em sistemas ou sites
  • Estabelecer campanhas de conscientização de segurança para os consumidores
Controle
  • Definir claramente as responsabilidades com relação aos aspectos de segurança de aplicações
  • Verificar e auditar para garantir que práticas adequadas de segurança são adotadas
  • Inserir os aspectos de segurança de aplicações em seus regulamentos e/ou recomendações setoriais
  • Facilitar a criação de um mercado de seguros para a segurança de aplicações
  • Requerer o uso de conexões criptografadas (SSL) para aplicações web
Ensino e Pesquisa
  • Inclusão das boas práticas de segurança de aplicações no conteúdo dos cursos
  • Definição de cursos avançados para formação de mão-de-obra na área
  • Fomentar e financiar pesquisas sobre segurança de aplicações
  • Promover a formação de profissionais capazes de atuar com ética e responsabilidade

Todos os órgãos públicos

  • Financiar validações e correções de segurança para sistemas de código aberto
  • Promover o uso de tecnologias e metodologias de segurança de aplicações
  • Promover e permitir testes de segurança de forma responsável mas aberta
  • Promover treinamento e conscientização dos gestores para os desafios da segurança na web

O OWASP apresenta ainda vantagens de mercado competitivas para o Brasil, ao se investir na estrutura de segurança dos seus órgãos, sites e sistemas. Além disso mostra como o projeto pode ajudar o país, com o suporte dos seus documentos traduzidos e especialistas voluntários.

O documento completo (PDF) está disponível aqui.