Escolar Documentos
Profissional Documentos
Cultura Documentos
Responsabilidade
Compartilhada
Eduardo Vianna de Camargo Neves
Escritório Central
Rua Marechal Hermes 678 CJ 32
CEP 80530-230, Curitiba, PR
t (41) 3095.5736
t (41) 3095.3986
www.conviso.com.br
Conviso IT Security
Quando uma empresa tem uma ou mais podemos esperar de um futuro próximo:
Como resultado, algumas pessoas tem utilizado disponibiliza projetos para que estas sejam
corrigidas ainda no ciclo de desenvolvimento,
instrumentos presentes no Código Civil e no
mas elas ainda ocorrem freqüentemente.
Código do Consumidor para buscar reparações
em diferentes esferas. Em alguns casos, a
As causas estão todas na inexistência de um
responsabilidade é compartilhada não só pela ciclo de desenvolvimento seguro, onde não
empresa que hospedava o componente onde o existem controles que verificam o nível de
problema foi gerado, mas ainda outras
segurança dos releases desenvolvidos, como existe pelo menos uma ação que pode ser
ainda é comum a ausência de processos que tomada para mudar este cenário: assumir a
garantam a capacitação contínua dos responsabilidade compartilhada.
desenvolvedores como forma de aumentar
A primeira ação a ser considerada, é estabelecer
gradativamente a qualidade da segurança
contratos que deixem claro quais são os papéis
embutida no produto.
de cada um. O OWASP Legal Project [10]
Mas antes de se apontar o dedo para as fábricas apresenta o “OWASP Secure Software
de software, existe um ponto que deve ser Development Contract Annex” como um modelo
considerado com o mesmo peso para uma para ser utilizado nesta ação.
antagônicas que devem ser equilibradas para estabelecimento das áreas onde os controles de
garantir o atendimento às necessidades do segurança devem ser considerados e ainda
cliente dentro de um nível de segurança formalizar o uso de testes e recursos técnicos
consideram que o orçamento para todos os produtos não é uma ação racional e
segurança das aplicações web é suficiente. muito provavelmente vai fazer a fábrica de
software alocar um esforço que poderia ser
Das vulnerabilidades consideradas urgentes evitado, e a empresa irá pagar esta conta.
nas empresas, 34% não são consertadas e
55% dos entrevistados acreditam que os Com isso, o programa será em pouco tempo
desenvolvedores são ocupados demais com criticado com razão, considerado um custo
Sobre o Autor
Eduardo Vianna de Camargo Neves trabalha
com Segurança da Informação desde 1997,
tendo atuado como auditor, consultor e Security
Officer. É sócio-fundador e Gerente de
Operações da Conviso IT Security, responsável
pela administração e estratégia da empresa.
Serve ainda como membro do Capítulo Brasil do
O WA S P, d o O WA S P G l o b a l E d u c a t i o n
Committee na América Latina e voluntário no
(ISC)2.