Steve Lipner, diretor de parceiros de segurança de software, Segurança de computação confiável, Microsoft

Faz quase uma década que a Microsoft implementou o SDL (Security Development Lifecycle).  Muita coisa mudou durante esse tempo.  

Na década passada, o uso da Internet passou de aproximadamente 350 milhões de pessoas online para mais de 2,4 bilhões.  Nunca houve tantas oportunidades para os desenvolvedores como há hoje em dia. O Windows 8 ainda é relativamente novo, a nuvem está em seu estágio inicial de aprovação e houve uma explosão de novos dispositivos móveis e plataformas. Embora a Internet tenha criado várias oportunidades e maneiras novas de fazer negócios, ela também disseminou a prática clandestina de crimes digitais online. Violações de segurança que geram prejuízos financeiros ou levam à perda de propriedade intelectual, desfiguração de site ou espionagem viraram uma realidade no cenário de computação atual.

Muitos dos desenvolvedores com os quais eu converso geralmente reconhecem a importância do desenvolvimento de segurança. Apesar disso, há indícios de que a grande maioria das organizações ainda não adotou o desenvolvimento de segurança como uma disciplina profissional fundamental. Recentemente, a Microsoft entrevistou mais de 2.200 profissionais de TI e 490 desenvolvedores do mundo todo.  A pesquisa constatou que apenas 37 por cento dos profissionais de TI mencionaram que suas organizações criam produtos e serviços levando em consideração a segurança.  Além disso, 61 por cento dos desenvolvedores não estavam se beneficiando das tecnologias de atenuação que já existem como ASLR, SEHOP e DEP. Faz anos que essas atenuações são disponibilizadas gratuitamente para o setor e costumam ser simples adições às práticas de desenvolvimento existentes. Mas, ainda assim, apenas uma minoria de desenvolvedores aproveita esses recursos.  Isso me preocupa e deveria preocupar todos os usuários da Internet.

Além disso, a pesquisa revelou que os maiores obstáculos que impedem as organizações de adotarem um processo de desenvolvimento de segurança eram 1) falta de aprovação da gerência, 2) falta de treinamento e suporte e 3) custo.  Atualmente, na Conferência de Desenvolvimento de Segurança, a Microsoft e outras empresas estão tomando providências para eliminar esses obstáculos e para ajudar a fechar a lacuna na adoção do desenvolvimento de segurança.

Aprovação da gerência – padronização e conformidade podem ajudar a superar muitos dos obstáculos envolvidos na aprovação da gerência.  A Organização Internacional de Normalização (ISO) e a Comissão Eletrotécnica Internacional (IEC) reconheceram a necessidade de padrões em relação aos processos de desenvolvimento de segurança e lançaram a ISO/IEC 27034-1. Esse novo padrão internacional é o primeiro desse tipo a focar nos processos e estruturas necessários para criar um programa de segurança de software abrangente.  A ISO/IEC 27034-1 é um passo importante no rumo certo que a segurança deve tomar e gera uma série de possibilidades para as organizações. A Microsoft reconhece esse marco importante no desenvolvimento da segurança e anuncia por meio de sua Declaração de Conformidade que o SDL da Microsoft está em conformidade com a ISO 27034-1.  Nós esperamos que, assumindo publicamente nossa conformidade com esse padrão, possamos servir como exemplo para outras empresas interessadas em se comprometer com o desenvolvimento de segurança.

Para as empresas que desenvolvem ou vendem software, esse padrão oferece uma linguagem de validação comum para as práticas de desenvolvimento de segurança, oferece uma descrição simples e clara para a adoção de uma estrutura de desenvolvimento de segurança e pode servir como um diferencial competitivo no mercado.
Para os clientes que compram software ou serviços de fornecedores, esse padrão oferece uma única “linguagem” para os compradores exigirem o desenvolvimento de segurança nos setores, plataformas e regiões.

Para obter mais informações sobre a ISO 27034-1, eu recomendo a leitura de um documento lançado hoje, encomendado pela Microsoft e publicado pela Reavis Consulting Group, LLC intitulado “O surgimento de padrões de segurança de software: ISO/IEC 27034-1:2011 e sua organização.” 

Muitos setores enfrentam a árdua batalha de proteger suas infraestruturas e cumprir as regulamentações industriais. A área de saúde é um exemplo de setor que enfrenta esse desafio.  A Microsoft também lançou hoje um documento intitulado "Tendências de software seguro no setor de saúde" que aborda esse desafio industrial e demonstra como o SDL pode ter um impacto positivo.

Treinamento e suporte – A Microsoft oferece ferramentas gratuitas, obtidas por download, como SDL for Agile, Threat Modeling e Attack Surface Analyzer, e instruções no site do SDL que ajudam a automatizar e melhorar o processo, aumentar a eficiência e facilitar a implementação do SDL.  Para ajudar a implementação, o Microsoft Partner Network inclui uma série de membros empenhados em ajudar os clientes a adotar práticas de desenvolvimento de segurança baseadas no SDL.  Além desses recursos, hoje a Software Assurance Forum for Excellence in Code (SAFECode) anunciou novos cursos de treinamento online gratuitos sobre o desenvolvimento de segurança.

Custo - Por último, os profissionais de TI e desenvolvedores citaram o custo como um grande obstáculo para a adoção de uma estrutura de desenvolvimento de segurança. Mas, verdade seja dita, um produto seguro não é o único benefício resultante da implementação desse processo. A criação de um código seguro também gera uma economia real de custos. O estudo da Aberdeen Group também mostrou que as empresas que adotam uma estratégia de “segurança na origem” (como o Microsoft SDL) observaram um ótimo retorno de 4 vezes sobre seus investimentos anuais em segurança de aplicativos.  A Forrester confirma essa informação declarando que as empresas que utilizam o SDL relataram um ROI nitidamente melhor do que a população geral.

Com o aumento constante na quantidade de aplicativos, não falta trabalho para os desenvolvedores. E a concorrência entre eles também é grande. Cada novo produto de software e aplicativo deve enfrentar as ofertas concorrentes. Passamos por essa situação antes, e a segurança costumava ficar em segundo plano diante da pressão comercial para ser o número um do mercado ou apresentar recursos incríveis.  Mas acredito que agora seja diferente. Infelizmente, os crimes cibernéticos são uma ameaça real e comum e o impacto que eles podem causar sobre nós, usuários domésticos ou empresas, é bem compreendido. Consequentemente, as empresas que usam software devem exigir produtos mais seguros e os desenvolvedores devem implementar o desenvolvimento de segurança como uma maneira de atender a essa demanda e permanecerem competitivos.