SEC11-BP01 Treinar para segurança de aplicações - Pilar de segurança
Orientação para implementaçãoRecursos

SEC11-BP01 Treinar para segurança de aplicações

Forneça treinamento à sua equipe sobre práticas seguras de desenvolvimento e operação, o que os ajuda a criar software seguro e de alta qualidade. Essa prática ajuda sua equipe a prevenir, detectar e corrigir problemas de segurança no início do ciclo de vida do desenvolvimento. Considere um treinamento que abranja modelagem de ameaças, práticas seguras de codificação e uso de serviços para configurações e operações seguras. Forneça à sua equipe acesso ao treinamento por meio de recursos de autoatendimento e colete regularmente seus comentários para melhoria contínua.

Resultado desejado: você equipa sua equipe com o conhecimento e as habilidades necessárias para projetar e criar software com a segurança em mente desde o início. Por meio de treinamento em modelagem de ameaças e práticas seguras de desenvolvimento, sua equipe tem uma compreensão profunda dos possíveis riscos de segurança e de como mitigá-los durante o ciclo de vida de desenvolvimento de software (SDLC). Essa abordagem proativa de segurança faz parte da cultura da sua equipe, e você pode identificar e corrigir possíveis problemas de segurança desde o início. Como resultado, sua equipe fornece software e recursos seguros e de alta qualidade com mais eficiência, o que acelera o cronograma geral de entrega. Você tem uma cultura de segurança colaborativa e inclusiva em sua organização, na qual a propriedade da segurança é compartilhada por todos os criadores.

Práticas comuns que devem ser evitadas:

  • Aguardar uma avaliação de segurança e só depois considerar as propriedades de segurança de um sistema.

  • Deixar todas as decisões de segurança para uma equipe de segurança central.

  • Não comunicar como as decisões tomadas no SDLC se relacionam às expectativas ou políticas de segurança gerais da organização.

  • Iniciar o processo de avaliação da segurança muito tarde.

Benefícios de implementar essa prática recomendada:

  • Melhor conhecimento dos requisitos organizacionais para a segurança na fase inicial do ciclo de desenvolvimento.

  • Ser capaz de identificar e solucionar possíveis problemas de segurança com maior rapidez, promovendo uma entrega de recursos mais rápida.

  • Maior qualidade do software e dos sistemas.

Nível de risco exposto se esta prática recomendada não for estabelecida: Médio

Orientação para implementação

Para criar software seguro e de alta qualidade, forneça treinamento à sua equipe sobre práticas comuns para desenvolvimento e operação de aplicações com segurança. Essa prática pode ajudar sua equipe a prevenir, detectar e corrigir problemas de segurança no início do ciclo de vida do desenvolvimento, o que pode acelerar o cronograma de entrega.

Para alcançar essa prática, considere treinar a equipe em modelagem de ameaças usando recursos da AWS, como o workshop de modelagem de ameaças. A modelagem de ameaças pode ajudar sua equipe a entender possíveis riscos de segurança e projetar sistemas com a segurança em mente desde o início. Além disso, você pode fornecer acesso ao Treinamento da AWS and Certification, indústria ou treinamento de parceiros da AWS sobre práticas seguras de desenvolvimento. Para conferir mais detalhes sobre uma abordagem abrangente para projetar, desenvolver, proteger e operar com eficiência em grande escala, consulte AWS DevOps Guidance.

Defina e comunique claramente o processo de avaliação da segurança da organização e descreva as responsabilidades da sua equipe, da equipe de segurança e de outras partes interessadas. Publique orientações de autoatendimento, exemplos de código e modelos que demonstrem como atender aos requisitos de segurança. Você pode usar serviços da AWS, como AWS CloudFormation, AWS Cloud Development Kit (AWS CDK) (AWS CDK) Constructs e Service Catalog, para fornecer configurações pré-aprovadas e seguras e reduzir a necessidade de configurações personalizadas.

Colete feedback regularmente da equipe sobre a experiência com o processo e o treinamento de avaliação da segurança e use esse feedback para promover melhorias contínuas. Conduza dias de jogos ou campanhas de combate de bugs para identificar e resolver problemas de segurança e, ao mesmo tempo, aprimorar as habilidades de sua equipe.

Etapas de implementação

  1. Identifique as necessidades de treinamento: avalie o nível atual de habilidades e as lacunas de conhecimento da sua equipe em relação às práticas de desenvolvimento seguro por meio de pesquisas, revisões de código ou discussões com os membros da equipe.

  2. Planeje o treinamento: com base nas necessidades identificadas, crie um plano de treinamento que aborde tópicos relevantes, como modelagem de ameaças, práticas seguras de codificação, testes de segurança e práticas de implantação segura. Empregue recursos, como o workshop de modelagem de ameaças, o Treinamento da AWS and Certification e programas de treinamento do setor ou de parceiros da AWS.

  3. Agende e ofereça treinamento: agende sessões de treinamento ou workshops regulares para sua equipe. Eles podem ser conduzidos por um instrutor ou individualizados, dependendo das preferências e da disponibilidade da sua equipe. Incentive exercícios práticos e exemplos práticos para reforçar o aprendizado.

  4. Defina um processo de análise de segurança: colabore com a equipe de segurança e outras partes interessadas para definir claramente o processo de revisão de segurança das aplicações. Documente as responsabilidades de cada equipe ou indivíduo envolvido no processo, incluindo sua equipe de desenvolvimento, equipe de segurança e outras partes interessadas relevantes.

  5. Crie recursos de autoatendimento: desenvolva diretrizes de autoatendimento, exemplos de código e modelos que demonstrem como atender aos requisitos de segurança da sua organização. Considere serviços da AWS, como CloudFormation, AWS CDK Constructs e Service Catalog, para fornecer configurações pré-aprovadas e seguras e reduzir a necessidade de configurações personalizadas.

  6. Comunique-se e socialize: comunique com eficácia o processo de revisão de segurança e os recursos de autoatendimento disponíveis para sua equipe. Conduza sessões de treinamento ou workshops para familiarizá-los com esses recursos e verificar se eles entendem como usá-los.

  7. Obtenha feedback e melhore: colete feedback regularmente da equipe sobre a experiência com o processo e o treinamento de avaliação da segurança. Use esse feedback para identificar áreas de melhoria e refinar continuamente os materiais de treinamento, os recursos de autoatendimento e o processo de revisão de segurança.

  8. Realize exercícios de segurança: organize dias de jogo ou campanhas de combate a bugs para identificar e resolver problemas de segurança nas aplicações. Esses exercícios não apenas ajudam a descobrir possíveis vulnerabilidades, mas também servem como oportunidades de aprendizado prático para sua equipe, aprimorando suas habilidades em desenvolvimento e operação seguros.

  9. Continue aprendendo e melhorando: incentive sua equipe a se manter atualizada com as mais recentes práticas, ferramentas e técnicas de desenvolvimento seguro. Revise e atualize regularmente os materiais e recursos de treinamento para refletir o cenário de segurança em evolução e as práticas recomendadas.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados:

Exemplos relacionados:

Serviços relacionados: