Use Case
Os benefícios de uma plataforma completa de DevSecOps para operadoras de telefonia
As operadoras de telefonia enfrentam uma série de desafios quando o tema é segurança de aplicações. A falta de uma cultura de segurança e a busca por soluções eficazes de proteger os dados dos usuários da forma mais segura possível são alguns deles.
Afinal, assim como em outros setores, um ataque bem sucedido por parte de pessoas mal intencionadas representa muitos prejuízos - tanto para a instituição, quanto para seus usuários. E a grande verdade é que a probabilidade de acontecer é alta - uma vez que os dados de seus usuários têm alto valor para atacantes, que os utilizam em golpes, reutilização de credenciais e em muitas outras situações.
.svg)
Software seguro desde a fase do design
Para reduzir a probabilidade de uma vulnerabilidade ser explorada
Monitoramento constante
Para identificar vulnerabilidades o ano todo, e não apenas em períodos de maior tráfego
Conscientização de devs
Para que AppSec se torne uma cultura entre os times de segurança e desenvolvimento
Quando falamos em cibercrime, operadoras telefônicas estão entre as empresas mais visadas por criminosos. Afinal, dados vazados, como CPF, endereços, e-mails e outros detalhes da fatura dos usuários têm valor no mercado clandestino. Em fevereiro de 2021, mais de 103 milhões de contas de celular de operadoras brasileiras sofreram ataques nos seus sistemas, comprometendo a privacidade dos seus clientes.
No Brasil, não existe apenas uma lei que contemple cibersegurança, mas sim, uma série de leis, decretos e normas que garantem aos cidadãos o direito à privacidade dos seus dados quando estiverem utilizando a internet. Muitos órgãos e regulamentos de segurança e privacidade de dados como, por exemplo - LGPD, PCI-DSS, ANPD (Autoridade Nacional de Proteção de Dados), Resolução Bacen 4893, Marco Civil da Internet e o E-Ciber descrevem requisitos para cibersegurança e segurança de aplicações e para a proteção de dados de usuários.
Essas normatizações preveem ainda uma série de penalidades por violações. As multas podem chegar a 2% do faturamento do seu último exercício por infração, bem como multas diárias adicionais. Além disso, há uma série de sanções administrativas previstas no Art. 52 da LGPD. O prejuízo vai muito além do impacto financeiro inicial - os vazamentos causam ainda danos à imagem das operadoras. É importante reforçar que segurança de aplicações não deve ser um investimento realizado apenas para entrar em conformidade com normas, mas uma prática realizada para oferecer produtos e serviços com mais qualidade e segurança para os usuários.
Permite visão de riscos e realiza Modelagem de Ameaças - Com o Secure by Design, ela permite identificar cenários que possam permitir a um atacante causar danos a sua aplicação. Com essa visão, são identificados os requisitos de segurança para atenuar ou eliminar estes cenários.
Age de forma proativa - Por meio do Secure Pipeline, a Conviso Platform se integra a ferramentas de análise de código, permitindo uma gestão proativa a cada novo deploy realizado por times de desenvolvimento das operadoras. Ela também unifica os resultados, possibilitando a construção de um processo de gerenciamento de vulnerabilidades e fornecendo insights para correções mais rápidas e assertivas.
Faz orquestração de análises de segurança - Por meio do Attack Surface, a Conviso Platform identifica, testa e monitora constantemente a superfície de ataque, evitando incidentes de segurança com uma abordagem proativa e priorizando a segurança constantemente.
Na busca por um processo que se adeque à rotina da instituição, é comum nos depararmos com empresas de telefonia que adquiriram um número grande de ferramentas para os times de desenvolvimento e segurança. O excesso de ferramentas, planilhas e processos sem um gerenciamento eficaz e centralizado de todas essas tecnologias causa retrabalho e gastos desnecessários.
Cobre todo o ciclo de desenvolvimento seguro - A Conviso Platform é uma plataforma completa de DevSecOps composta por cinco produtos, e cada um deles realiza um papel indispensável e complementar na tarefa de abordar todo o ciclo do desenvolvimento seguro e acelerar a maturidade de AppSec nas empresas. Mais do que ações preventivas e corretivas, ajuda também a promover uma mudança cultural nas empresas.
Centraliza, potencializa e coexiste com outras ferramentas - Seu time não precisará necessariamente deixar de lado as ferramentas que já adquiriu. Pelo contrário - a Conviso Platform suporta as principais soluções em ferramentas de Continuous Integration e Continuous Delivery, além de outras soluções do mercado. Nossas integrações são atualizadas constantemente, para oferecer mais autonomia a Devs.
Conta ainda com o CLI, uma solução dev-friendly de interface de linha de comando que interage com a nossa plataforma e automatiza diversas funcionalidades. Usuários podem acessá-lo localmente e também dentro do seu CI/CD, para executar projeto de varreduras de segurança (SAST, SCA, IaC, Container); definir políticas para bloquear o pipeline dependendo de diferentes critérios.
Faz orquestração de análises de segurança - Um dos cinco produtos que integram a nossa plataforma é o Secure Pipeline, uma solução ASTO (Application Security Testing Orchestration) que se integra a ferramentas de análise de código, permitindo uma gestão proativa a cada novo deploy realizado por times de desenvolvimento. Além disso, ele unifica os resultados, possibilitando uma visão geral das vulnerabilidades.
Pessoas desenvolvedoras trabalham em um contexto que exige que criem e implementem software mais rápido do que nunca, e isso gera um problema: equipes de segurança geralmente não conseguem acompanhar a velocidade acelerada do desenvolvimento de software - e passam a ser vistas, muitas vezes, como um obstáculo para as entregas. Isso acaba causando fricção entre os times, e baixo engajamento cultural por parte dos Devs, que ficam sufocados com entregas. Em 2022, quando realizamos nossa pesquisa sobre o mercado brasileiro de segurança de aplicações, perguntamos: “a empresa em que você trabalha possui um orçamento específico para AppSec?". Dos entrevistados, 59,8% relataram existir um orçamento específico para a área.
É preciso, então, levar a cultura de AppSec para pessoas desenvolvedoras e lutar contra a ideia errada, porém infelizmente amplamente difundida, de que a segurança é um empecilho para o desenvolvimento.
Entenda como a Conviso Platform age nessas frentes:
É dev-first - e isso significa que ela foi criada pensando justamente na rotina, desafios e obstáculos da pessoa desenvolvedora, que ganha maior autonomia. Para isso, integra-se totalmente às ferramentas utilizadas por Devs.
Aposta em conscientização e treinamentos contínuos - Por meio do People & Culture, oferece uma solução de capacitações em AppSec, com desafios de códigos baseados no dia a dia de devs de cada operadora telefônica.
Testagem e monitoramento constantes - Os desafios de gamificação do People & Culture promovem engajamento dos times e fazem com que o aprendizado ocorra de maneira ativa. Como resultado, gera ainda mais awareness sobre a importância da segurança.
Facilita a tomada de decisão a partir de dados e insights - Por meio de dados e insights, nossa plataforma oferece às pessoas desenvolvedoras uma visão abrangente e consistente do risco de AppSec no nível corporativo, para que atuem de forma ágil e certeira em cada tipo de incidente. Isso permite que operadoras telefônicas ajam de forma rápida e eficaz a possíveis incidentes.
Com a missão de apoiar todo o ciclo de desenvolvimento seguro e acelerar a maturidade de AppSec nas empresas, a Conviso Platform é uma solução SaaS que empodera desenvolvedores na construção de aplicações mais seguras. Foi criada com base na OWASP SAMM, o modelo de maturidade que define práticas de segurança que atendem a todo o ciclo de vida do software.