Necessidade de compliance com os requisitos de segurança de seus clientes
No início, eles lidavam com o desafio de atender a um processo de compliance rigoroso nos requisitos de segurança das suas aplicações, para atender a demanda de um de seus clientes. Para isso, a empresa contou com a expertise da Conviso, que realizou os pentests necessários. Com o tempo, após os resultados detalhados desses testes, a empresa identificou também a urgência de aprimorar seu processo de desenvolvimento seguro, e claro, a Conviso esteve ao seu lado durante essa jornada.
Dada a natureza sensível do grande volume de dados armazenados, a organização necessitava de um programa abrangente de segurança de aplicações. Além disso, a capacitação dos seus desenvolvedores em segurança de aplicações (AppSec) emergiu como uma prioridade durante esse processo.
Assim, era importante dar início a uma mudança cultural entre os profissionais envolvidos no desenvolvimento de software. Isso significava assegurar que a segurança fosse incorporada nas fases iniciais do ciclo de desenvolvimento, e não apenas em testes pontuais e isolados.
Nesse cenário desafiador, esta empresa e a Conviso uniram forças, não apenas para atender às expectativas dos clientes, mas também para garantir um padrão excepcional de segurança em todas as etapas do processo de desenvolvimento de software.
Criar uma cultura de desenvolvimento seguro
Iniciamos nosso trabalho realizando pentests, e os resultados foram disponibilizados em tempo real na Conviso Platform. Essa abordagem permitiu à equipe da organização realizar correções de maneira ágil, evitando qualquer atraso em suas entregas.
Em seguida, implementamos e fortalecemos a cultura de segurança de aplicações na empresa através de treinamentos aplicados e a definição de requisitos de segurança dentro do processo de desenvolvimento seguro.
Entendendo a necessidade de avançar a maturidade do seu time de desenvolvimento em segurança, a empresa deu um passo crucial, decidindo investir em um novo serviço: o AppSec Squads.
Nesse modelo, analistas de segurança da Conviso foram integrados ao cotidiano das equipes de desenvolvimento, desempenhando um papel essencial na conscientização sobre segurança através do desenvolvimento de um programa de AppSec, elevando significativamente o nível de maturidade em segurança dentro das squads e de seus processos.
Capacitação de profissionais e processos definidos
Com a intervenção direta da Conviso em seus processos, a organização elevou de forma expressiva seu nível de maturidade em AppSec. Foram realizados 18 treinamentos, capacitando todos os desenvolvedores da empresa, e mais de 200 novos requisitos foram implementados no processo de desenvolvimento seguro.
Além disso, a introdução do programa de Security Champions recebeu elogios especiais pela diferença que está fazendo nos procedimentos da empresa. Os entregáveis estão apresentando impacto positivo na equipe de desenvolvimento, promovendo uma notável mudança na cultura e no comprometimento em seguir as melhores práticas de desenvolvimento seguro. Isso se traduziu em maior visibilidade durante as tomadas de decisões e priorização das correções de vulnerabilidades.
Agora, as aplicações são desenvolvidas com uma base mais segura, pois os requisitos de segurança passaram a ser considerados critérios de aceite. Houve um refinamento das normas e dos processos internos, resultando em uma melhoria notável na gestão de vulnerabilidades da empresa.
Com o uso da Conviso Platform e a comunicação constante com os analistas de segurança da Conviso, conseguimos uma gestão abrangente das vulnerabilidades. Esse enfoque resultou em uma maior agilidade e precisão nas correções implementadas, garantindo um ambiente mais seguro e confiável para todas as operações desta organização.
Cultura de Segurança:
Através da capacitação dos profissionais envolvidos no desenvolvimento, a segurança se tornou uma prioridade essencial em todas as etapas do ciclo de desenvolvimento.
Redução de custos:
A inserção da segurança nas fases iniciais do processo de desenvolvimento de software resultou em uma significativa redução dos custos associados ao retrabalho e aos testes pontuais.
Pentests mais abrangentes:
A colaboração entre a equipe da Stix e os recursos da Conviso enriqueceu os pentests, proporcionando uma compreensão mais profunda das vulnerabilidades e dos possíveis cenários de ataques e fraudes.
Melhor gestão de vulnerabilidades:
A Conviso Platform, juntamente com a comunicação com os analistas da Conviso, possibilitou uma gestão completa das vulnerabilidades, pautada no gerenciamento de riscos e de maneira contextualizada. Isso resultou em maior agilidade e precisão nas correções implementadas.