[Artigo 3/3] Atualização do OWASP TOP 10 2017 – BENEFÍCIOS do uso do OWASP TOP 10 PARA VOCÊ e sua organização

Screen Shot 2017-12-12 at 15.38.59

Já demos uma olhada na nova lista OWASP Top 10 e analisamos como prevenir e tratar as vulnerabilidades nas nossas aplicações web, mas, quais os benefícios de se fazer isso? O que o negócio (e você), ganha com esse esforço? Neste artigo analisaremos os benefícios do Top 10 sob a luz de Governança (sócio majoritário – governo), Risco (negócio) e Conformidade (você).

O simples define Risco como o resultado de Probabilidade X Impacto. Já na lista Top 10 são usadas 3 (três) variáveis para o cálculo da probabilidade:

  • Facilidade para Explorar – o quão fácil é explorar;
  • Predomínio da Falha – o quanto está distribuída;
  • Taxa de Detecção da Falha – o quanto é fácil identificar.

e 2 (duas) variações para o cálculo do impacto:

  • Impactos Técnicos – problemas na aplicação e na infra que a suporta;
  • Impactos no Negócio – danos financeiros e de imagem.

Esta forma de analisar o risco deixa mais claro como as vulnerabilidades da lista podem causar problemas para as aplicações web e seus usuários. Estão na tabela abaixo (em inglês):

Screen Shot 2017-12-12 at 16.18.27.png

As práticas de Governança de Segurança da Informação, como as definidas pela indústria de cartões de pagamento no PCI DSS V3.2 ou pelo parlamento europeu na GDPR tornam-se mais claras para os decisores do negócio quando apoiadas na OWASP Top 10. Estas vinculações são necessárias, pois a GDPR será obrigatória em alguns meses e o uso de cartões de pagamento já é hábito comum para os cidadãos. Empresas que não se adaptarem serão penalizadas. Aplicações Web que não se adaptarem perderão mercado. Simples assim.

E, a utilização das técnicas e soluções apresentadas no artigo anterior carecem de processos para atingirem seus objetivos. Esses processos também vêm do curso básico de SI: Gestão de Acesso Lógico, Gestão de Ativos, Classificação da Informação, Gestão de Acesso Físico, Criptografia, Gestão de Incidentes, Continuidade de Negócios e … Conformidade!

O governo, não importa de onde, quer informações fiscais, contábeis e sociais. Por exemplo, nosso sistema de imposto de renda mostra o quanto a Receita “vê tudo” que fazemos. Dessa forma, as práticas de Governança definidas em leis (nacionais e estrangeiras), normas (como as ISO) e padrões (como o PCI) endereçam as vulnerabilidades da lista Top 10, direta (requisito 6 do PCI) ou indiretamente (GDPR), facilitando a aplicação das mesmas nas empresas.

No segundo artigo, apresentei o Desenvolvimento Seguro de forma geral. Pelo prisma da Governança e Conformidade, vemos o que está envolvido. Não dá para fazer na “amizade”:

Screen Shot 2017-12-12 at 16.31.18.png

Além disso, as mudanças devem ser processadas com “muita calma nessa hora”, para elas mesmas não tornarem a solução vulnerável.

Quando as aplicações não expõem os Dados Sensíveis (A3) ela atende aos requisitos de privacidade da Europa (GDPR) e dos EUA (Privacy).

Quando as aplicações previnem Injeção (A1), Falhas de Autenticação (A2), Acesso Lógico Falho (A5) e XSS (A7), ela atende aos requisitos do PCI.

Quando uma aplicação previne XXE (A4), Configuração Insegura (A6 e A8) e Componentes Inseguros (A9) ela protege seus usuários e as informações de negócio dela mesma, conforme leis de diversos países, incluindo Carolina Dieckmann (Brasil) e Sarbanes-Oxley (EUA).

Quando uma equipe técnica monitora (A10) não só a aplicação web, mas, o inteiro conjunto de tecnologias que o negócio utiliza, ela não vive “apagando incêndio”, mas, age preventivamente, baseada em informações confiáveis e validadas.

A prevenção reduz a probabilidade dos riscos e a monitoração reduz o impacto deles.

As práticas de governança facilitam a comunicação interna e com o governo e permitem que a Segurança da Informação agregue valor ao negócio, pois, aplicações web seguras vendem mais!

E você? Deixará de ser custo. Não será cobrado por que “a página caiu”, nem passará noites restaurando dados comprometidos por ransomwares que exploraram vulnerabilidades de 2 (dois) anos atrás. Você será parte do negócio. Respeitado e bem remunerado.

A Clavis pode te ajudar com tudo isso, pois, além das soluções apresentadas no artigo anterior, conta com equipe de Governança experiente e com visão de negócio da SI.

Atuamos na criação de processos, no Treinamento e Conscientização e na conformidade com leis e normas voltadas para SI.

Através do apoio da equipe de consultores da Solução BART, da Solução Octopus e dos outros Serviços e Soluções, a Clavis vai te auxiliar a prevenir e monitorar as vulnerabilidades:

  • A1: Injeção de Código;
  • A2: Falhas de Autenticação;
  • A3: Exposição de Dados Sensíveis;
  • A4: Entidades Externas XML;
  • A5: Controle de Acesso Ineficiente;
  • A6: Má Configuração de Segurança;
  • A7: Cross-Site Scripting;
  • A8: Desserialização Insegura;
  • A9: Usar Componentes com Vulnerabilidades Conhecidas.
  • A10: Registro e Monitoração Ineficientes.

Conheça o BART: Gestão Centralizada de Vulnerabilidades

Conheça o Octopus SIEM

Vamos te ajudar a usar a lista OWASP Top 10 para alavancar a Segurança da Informação na empresa, partindo de tuas aplicações web para dentro. E para cima, onde é o teu lugar!