fbpx
Os times de Segurança da Informação

Em um cenário em que os ciclos de desenvolvimento de software estão cada vez mais rápidos, com a implementação de práticas de desenvolvimento ágil e DevOps, há menos tempo para testar uma aplicação com segurança, corrigir falhas e vulnerabilidades e entender como defendê-la. É neste momento que se faz necessário que a organização implemente times de segurança da informação (Infosec).

A ideia por trás dos times de infosec é a compreensão da segurança como uma preocupação constante, do desenvolvimento à implementação e manutenção do software. Entretanto, tornar a segurança um objetivo comum é uma tarefa complexa que perpassa a cultura da área de Tecnologia da Informação e o próprio conhecimento dos desenvolvedores sobre o tema, além de afetar as áreas de negócios e os processos das empresas.

Com frequência, a equipe de segurança é tratada como oposta ao desenvolvimento ágil. É ela que identifica os problemas da aplicação, que retorna para correção, indo de encontro à agilidade exigida aos desenvolvedores. Além disso, desenvolvedores normalmente não têm conhecimento na área de segurança, em parte pela sua formação universitária e especialização (segurança da informação ocupa a ementa de somente uma disciplina nos currículos de Engenharia de Software e Ciência da Computação, por exemplo).

Para tornar os softwares mais seguros e ao mesmo tempo atender às necessidades do mercado é importante que os desenvolvedores programem com segurança. Os times de infosec são uma resposta a essa questão.

Cada time é representado por uma cor do círculo cromático. São eles:

Times de Infosec

Red Team

O time vermelho é constituído por “hackers autorizados”. O papel dele é encontrar vulnerabilidades na aplicação que podem ser exploradas para fins maliciosos. Para isso, esse time usa técnicas de ataque com autorização da organização e mapeia as vulnerabilidades encontradas para serem corrigidas.

Blue Team

Enquanto o time vermelho deve atacar a aplicação para expor vulnerabilidades, o time azul tem o papel de defender e antecipar esses ataques. Ele é responsável pela segurança de toda a infraestrutura da organização e tem como funções o mapeamento de riscos, controle de danos, resposta a incidentes e segurança operacional.

Yellow Team

Esse é o time dos desenvolvedores. Suas tarefas envolvem o desempenho do backend, as funcionalidades da aplicação e a experiência do usuário.

Purple Team

O time roxo consiste nas interações entre os times vermelho e azul e tem como objetivo maximizar os resultados do time vermelho e melhorar a capacidade de resposta do time azul. Assim, o time roxo integra os resultados dos testes de segurança à capacidade de defesa da organização.

Orange Team

Fazem parte desse time as interações entre os times vermelho e amarelo. Essas interações são importantes para educar desenvolvedores a programar com segurança. Como as atividades do time vermelho envolvem atacar a aplicação construída pelo time amarelo e expor vulnerabilidades, as interações entre os dois times tendem a ser reativas: os problemas encontrados pelo time vermelho retornam para o amarelo, que busca resolvê-los.

A implementação de um time laranja, no entanto, pressupõe uma atitude mais proativa por parte dos desenvolvedores. Ao aprender com o time vermelho sobre vulnerabilidades que podem ser evitadas a nível de código, menos problemas serão detectados pelos “hackers autorizados” e, consequentemente, menos tempo será gasto pelos dois times.

Green Team

Esse time diz respeito à comunicação entre os times amarelo e azul. O seu objetivo é melhorar as defesas baseadas em código e design da aplicação. Isso acontece através do feedback do time azul em relação a aplicação e do compartilhamento de limitações do software por parte do time amarelo. Essas interações ajudam a identificar vulnerabilidades e montar estratégias de defesa já no início do ciclo de desenvolvimento da aplicação.

White Team

O time branco é responsável por manter os padrões de segurança exigidos por auditores internos e externos (PCI, ISO 27001, entre outros) e pelas políticas e requerimentos do negócio. Esse é um time neutro que organiza os demais, planeja e monitora o seu progresso, além de definir regras de engajamento.

Por que implementar?

Times de segurança da informação são uma forma de organizar procedimentos de segurança e implementá-los no decorrer do ciclo de desenvolvimento de software, ao invés de apenas no final. Além disso, os times ajudam a integrar e educar desenvolvedores a programar com segurança.

A implementação do “círculo cromático da segurança” é um investimento de tempo, conhecimento e retenção de talentos. Afinal, ela envolve uma mudança de cultura no que diz respeito aos papéis do desenvolvimento e segurança no ciclo aplicação. No entanto, a médio e longo prazo, esse investimento traz resultados significativos no que diz respeito ao tempo de produção de aplicações seguras e à reputação da organização.

Vale lembrar, entretanto, que a segurança da informação vai muito além do desenvolvimento de softwares seguros e que deve ser uma preocupação de toda a empresa.

Entre em Contato

Se quiser saber um pouco mais sobre como melhorar a segurança da sua empresa, entre em contato conosco e converse com os nossos especialistas.