SEC11-BP01 Treinar para segurança de aplicações - Pilar de segurança
Orientação para implementação Recursos

SEC11-BP01 Treinar para segurança de aplicações

Forneça treinamento aos criadores em sua organização sobre práticas comuns para promover a segurança no desenvolvimento e na operação de aplicações. A adoção de práticas de desenvolvimento com foco na segurança ajuda a diminuir a probabilidade de problemas que são detectados somente no estágio de avaliação da segurança.

Resultado desejado: o software deve ser projetado e construído com a segurança em mente. Quando os criadores em uma organização são treinados em práticas de desenvolvimento seguras que começam com um modelo de ameaças, isso melhora a qualidade e a segurança gerais do software produzido. Essa abordagem pode reduzir o tempo de entrega do software ou de recursos porque não é necessário tanto retrabalho após o estágio de avaliação da segurança.

Para fins dessa prática recomendada, desenvolvimento seguro refere-se ao software que está sendo escrito e às ferramentas ou sistemas que suportam o ciclo de vida de desenvolvimento de software (SDLC).

Práticas comuns que devem ser evitadas:

  • Aguardar uma avaliação da segurança e, depois, considerar as propriedades de segurança de um sistema.

  • Deixar todas as decisões de segurança para a equipe de segurança.

  • Não comunicar como as decisões tomadas no SDLC se relacionam às expectativas ou as políticas de segurança gerais da organização.

  • Iniciar o processo de avaliação da segurança muito tardiamente.

Benefícios de implementar esta prática recomendada:

  • Melhor conhecimento dos requisitos organizacionais para a segurança na fase inicial do ciclo de desenvolvimento.

  • Ser capaz de identificar e solucionar possíveis problemas de segurança com maior rapidez, promovendo uma entrega de recursos mais rápida.

  • Maior qualidade do software e dos sistemas.

Nível de risco exposto se esta prática recomendada não for estabelecida: Médio

Orientação para implementação

Ofereça treinamento aos criadores em sua organização. Começar com um curso sobre modelagem de ameaças é uma boa base para ajudar no treinamento em segurança. Preferencialmente, os criadores devem ser capazes de acessar de forma independente as informações relevantes às respectivas workloads. Esse acesso os ajuda a tomar decisões embasadas sobre as propriedades de segurança dos sistemas criados por eles sem a necessidade de solicitar outra equipe. O processo para envolver a equipe de segurança para avaliações deve ser claramente definido e simples de seguir. As etapas do processo de avaliação devem ser incluídas no treinamento de segurança. Quando houver padrões ou modelos de implementação disponíveis, eles deverão ser simples de encontrar e vincular aos requisitos de segurança gerais. Considere usar o AWS CloudFormation, construtos do AWS Cloud Development Kit (AWS CDK), o Service Catalog ou outras ferramentas de modelagem para reduzir a necessidade de configuração personalizada.

Etapas de implementação

  • Inicie os criadores com um curso sobre modelagem de ameaças para criar uma boa base e ajude a treiná-los em como pensar em segurança.

  • Forneça acesso a treinamentos da Treinamento da AWS and Certification, do setor ou de parceiros da AWS.

  • Forneça treinamento sobre o processo de avaliação da segurança de sua organização, que esclarece a divisão de responsabilidades entre a equipe de segurança, as equipes de workload e outras partes interessadas.

  • Publique orientações de autoatendimento sobre como atender aos seus requisitos de segurança, inclusive códigos de exemplo e modelos, se disponíveis.

  • Obtenha feedback regularmente de equipes de criadores sobre a experiência deles com o processo e o treinamento de processo de avaliação da segurança e usar esse feedback para promover melhorias.

  • Utilize game days ou campanhas de bug bash para ajudar a reduzir o número de problemas e aumentar as habilidades de seus criadores.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados:

Exemplos relacionados:

Serviços relacionados: