Como integrar os controles A.14 da ISO 27001 no ciclo de desenvolvimento de sistema/software (SDLC)

A segurança da informação é apenas tão boa quanto os processos relacionados a ela, ainda assim encontramos muitas organizações preocupadas somente se funcionalidades de segurança existem e estão ativas em seus sistemas de informação, e não como elas são desenvolvidas, implementadas, mantidas e melhoradas.

Como resultado, muitos sistemas de informação falham em proteger a informação, não por falta de funcionalidades de segurança, mas porque práticas inadequadas de desenvolvimento, implementação, manutenção ou melhoria levaram funcionalidades a não funcionar adequadamente ou a serem facilmente contornadas, causando danos contra os quais os negócios estavam contando estar protegidos.

Este artigo apresentará como um processo de desenvolvimento estruturado (SDLC – System or Software Development Life Cycle – Ciclo de Desenvolvimento de Sistema ou software), e os controles de segurança da ISO 27001 para aquisição, desenvolvimento e manutenção de sistemas podem em conjunto ajudar a aumentar a segurança dos processos de desenvolvimento de sistemas de informação, beneficiando não apenas a segurança da informação, mas também organizações e aqueles envolvidos nos processos de desenvolvimento.

Por que desenvolver de forma segura?

Ao implementar práticas de segurança nos processos internos de desenvolvimento, ou ao demandar que fornecedores os implementem em seus processos, não apenas a própria informação estará melhor protegida, mas organizações podem alcançar benefícios tais como:

  • Redução de custos com retrabalho: práticas de segurança impõem planejamento e avaliação de cenários mais rigorosos, levando a uma melhor definição de requisitos de sistemas e a soluções mais adequadas.
  • Redução de custos com incidentes: sistemas e controles de segurança melhor planejados minimizam a ocorrência e impactos de incidentes.
  • Redução dos tempos de parada de manutenção: práticas de segurança impõem mais controle sobre o desenvolvimento e implementação de mudanças, assim menos tempo é necessário para realiza-las, e menos problemas tendem a surgir.
  • Redução da responsabilização: a adoção das práticas de segurança é vista como um esforço de diligência para prevenir a realização de riscos, o que pode minimizar penalidades em ações legais.

Para as equipes de desenvolvimento, os benefícios seriam:

  • Aumento do controle sobre requisitos: mudanças de requisitos devem ser avaliadas e formalizadas antes da implementação.
  • Critérios claros de verificação e validação: requisitos devem estar associados a resultados mensuráveis a serem atingidos.
  • Melhores justificativas para recursos: resultados claros a serem atingidos ajudam a apoiar demandas por recursos (ex.: competências, equipamentos, ambientes, etc.).

Deveria ser notado que o grau pelo qual práticas de segurança deveriam ser impostas deve equilibrar a necessidade por segurança do sistema com a produtividade dos processos, ou você pode terminar trocando um problema de segurança por um problema de produtividade em seu processo de desenvolvimento. Uma ferramenta recomendada para ajudar a encontrar o equilíbrio certo é a tabela de avaliação de risco.

SDLC: Ciclo de vida de desenvolvimento de sistema ou de software?

O acrônimo SDLC pode ser atribuído tanto para Sistema ou software quando considerando o ciclo de vida de desenvolvimento. Em resumo, o SDLC cobre os seguintes processos estruturados:

  • Planejamento: pensar e organizar todas as atividades requeridas para desenvolver o Sistema/software
  • Análise: obter um melhor entendimento sobre o que é esperado do Sistema/software
  • Design: definição da solução a ser implementada
  • Implementação: execução das atividades requeridas para criar o Sistema/software e torná-lo disponível aos usuários
  • Operação: o efetivo uso do sistema/software
  • Manutenção: fazer mudanças no Sistema/software para assegurar que ele não se torne obsoleto
  • Disposição: descarte do sistema/software

A diferença fundamental com relação ao termo “Sistema/Software” é que o ciclo de vida de desenvolvimento de Sistema abrange não apenas software, mas também hardware, dados, pessoas, processos, procedimentos, instalações e materiais. A ISO (Organização Internacional para Padronização) possui algumas normas cobrindo tanto a abordagem de sistema (ISO/IEC/IEEE 15288:2015 e ISO/IEC TR 90005:2008) quanto a de software (ISO/IEC 12207:2008 e ISO/IEC 90003:2014).

Aplicando a ISO 27001 no SDLC

A ISO 27001 possui um conjunto de objetivos e controles de segurança recomendados, descritos no Anexo A.14 e detalhados na seção 14 da ISO 27002, para assegurar que a segurança da informação é uma parte integral do ciclo de vida de sistemas, incluindo o ciclo de vida de desenvolvimento, e ao mesmo tempo cobrindo a proteção de dados usados em testes. Ao considerar os seguintes controles nos processos do SDLC, você pode torná-los mais robustos, e com isso, aumentar a eficácia dos sistemas de informação desenvolvidos com relação a proteção das informações:

Controles de segurança da ISO 27001 Justificativa para aplicação no SDLC
A.14.2.5 – Princípios para projetar sistemas seguros
A.14.2.1 – Política de desenvolvimento seguro
A.14.2.4 – Restrições sobre mudanças em pacotes de software
A.14.2.6 – Ambiente seguro para desenvolvimento
A.14.2.8 – Teste de segurança do sistema
A.14.3.1 – Proteção dos dados para teste
Orientações que direcionam a necessidade por desenvolvimento seguro de acordo com os riscos percebidos pelo negócio. Aqui você pode definir objetivos e práticas gerais, e os níveis de imposição mais adequados para a sua estrutura de SDLC.
A.14.1.1 – Análise e especificação os requisitos de segurança da informação
A.14.1.2 – Serviços de aplicação seguros em redes públicas
A.14.1.3 – Protegendo as transações nos aplicativos de serviço
Estes controles podem ser aplicados para assegurar que requisitos de segurança de sistemas são considerados durante a análise e concepção de sistemas ou softwares. Os Controles A.14.1.2 e A.14.1.3 proveem situações específicas do controle A.14.1.1.
A.14.2.2 – Procedimentos para controle de mudanças de sistemas
A.14.2.3 – Análise crítica técnica das aplicações após mudanças nas plataformas operacionais
A.14.2.9 – Teste de aceitação de sistemas
Estes controles podem ser aplicados para assegurar controle das mudanças formal e que os resultados desejados foram atingidos e nenhum impacto negativo resultou das mudanças.
A.14.2.7 – Desenvolvimento terceirizado Este controle pode ser aplicado para impor práticas de desenvolvimento seguras até mesmo aos fornecedores da organização.

Para mais informações sobre princípios para projetar sistemas seguros, veja: What are secure engineering principles in ISO 27001:2013 control A.14.2.5?

A série ISO 27001 também possui um conjunto de normas para apoiar os conceitos de gestão da segurança e ajudar a implementar os controles especificados na ISO 27002 com relação a segurança de aplicações. Estas são as normas: ISO/IEC 27034-1:2011, ISO/IEC 27034-2:2015 e ISO/IEC 27034-6:2016.

Processos seguros entregam resultados seguros

À medida em que os sistemas de informação crescem em complexidade e criticidade, mais pontos vulneráveis aparecem, é tudo que um malfeitor, ou usuário descuidado, precisam para causar caos nas operações do negócio é um único ponto (ex.:um código vulnerável, uma função de segurança desativada, uma demanda de usuário mal planejada, uma correção esquecida, etc.), e as práticas de desenvolvimento tradicionais não são capazes de manter níveis apropriados de segurança.

Pela adoção do SDLC juntamente com os controles A.14 da ISO 27001 para desenvolver de forma segura sistemas de informação, uma organização pode ter a certeza de cobrir as ameaças mais comuns e, ao tratar a segurança como um processo, estar trabalhando de forma sistemática e contínua na manutenção dos níveis de segurança, mantendo suas informações e sistemas longe de perigos, ao mesmo tempo em que colhe os benefícios de processos melhorados.

Para aprender mais sobre desenvolvimento seguro de sistemas de informação de acordo com a ISO 27001, experimento nosso treinamento online gratuito  ISO 27001:2013 Foundations Course.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001