Site Meter Retorno Sobre o Investimento de um Processo Seguro de Desenvolvimento - Negócio de Risco - Site Home - TechNet Blogs

Negócio de Risco

Blog do Time de Segurança da Microsoft Brasil

Retorno Sobre o Investimento de um Processo Seguro de Desenvolvimento

Retorno Sobre o Investimento de um Processo Seguro de Desenvolvimento

  • Comments 1
  • Likes

Quando uma organização cosidera a implementação de um processo de desenvolvimento de software seguro como o Microsoft SDL, três perguntas são comumente feitas pela gerência:

1. Quanto isso vai custar?

2. Como posso medir os resultados?

3. Como posso justificar o investimento?

Para auxiliar as organizações a responder a estas perguntas e definir um processo que seja acessível, mensurável e justificável, a Microsoft e a iSec Partners publicaram o documento Microsoft SDL: Return on Investment (em inglês).

Este documento é baseado na experiência real de 7 anos de uso e evolução do processo SDL na Microsoft e em outras organizações, e tem como objetivos ajudar equipes de desenvolvimento a:

■ Entender e comunicar os benefícios de uma abordagem estruturada no desenvolvimento de um software com segurança.

■ Desenvolver e usar métricas para melhorar o processo e definir o retorno sobre o investimento (ROI).

■ Obter resultados concretos e otimizar o uso de um orçamento limitado.

O documento também referencia recursos que organizações podem utilizar ao começar a implementação de um processo de desenvolvimento seguro, como o Microsoft SDL Developer Starter Kit, um conjunto completo de materiais de treinamento em desenvolvimento seguro para uso dentro da organização, e o modelo de maturidade SDL Optimization Model que ajuda organizações a definir a estratégia de implementação do processo.

Uma dica interessante que o documento recomenda para organizações começando a implementar hoje o processo é se concentrar nas fases iniciais do processo, que são as que o processo obtém a melhor relação custo/benefício em termos de redução de vulnerabilidades. Educação da equipe, correta especificação dos requerimentos e modelagem de ameaças vão em princípio oferecer melhor ROI do que um investimento em ferramentas de verificação estática de código e testes de penetração, que ocorrem mais tarde dentro do processo. O que não quer dizer que todas estas atividades não tenham valor.

Para mais informações sobre a justificativa de negócio de um processo de desenvolvimento seguro, veja os demais recursos existentes na página The Business Case for the Microsoft Security Development Lifecycle.

Comments
  • Cima,

    estas referências são de grande valia. Principalmente o Microsoft SDL Developer Starter Kit

    Abs.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment