Plataforma
Serviços
Recursos
Desenvolvedores
Empresa
Use Case
Por que empresas de varejo precisam investir em uma solução completa de DevSecOps?
Confiabilidade depende de segurança
O setor do varejo enfrenta seus próprios desafios quando o tema é segurança de aplicações. A falta de uma cultura de segurança, times de desenvolvimento grandes, e a sazonalidade são alguns deles.
Quando falamos de varejo, criar um elo de confiança entre a instituição e seus clientes é essencial. Afinal, muitas dessas empresas têm foco no e-commerce, e os dados de clientes - e também a sua confiança - precisam ser mantidos com cuidado e atenção.
Programas de AppSec são necessários para que se ganhe maturidade nas seguintes frentes:
.svg)
Software seguro desde a fase do design
Para reduzir a probabilidade de uma vulnerabilidade ser explorada
Monitoramento constante
Para identificar vulnerabilidades o ano todo, e não apenas em períodos de maior tráfego
Conscientizaçãode devs
Para que AppSec se torne uma cultura entre os times de segurança e desenvolvimento
Na Conviso, conhecemos bem as principais problemáticas que esse setor possui quando o tema é AppSec - e como resolvê-las
Ferramentas e tecnologias excessivas, sem algo que as centralize
Na busca por um processo que se adeque à rotina da instituição, não é incomum nos depararmos com empresas varejistas que relatam que adquiriram um número alto de ferramentas para os times de desenvolvimento e segurança. O excesso de ferramentas, planilhas e processos sem um gerenciamento eficaz de todas essas tecnologias causa retrabalho e gastos desnecessários.
Entenda como a Conviso Platform age nessas frentes:
Cobre todo o ciclo de desenvolvimento seguro - A Conviso Platform é uma plataforma completa de DevSecOps composta por cinco produtos - e cada um deles realiza um papel indispensável e complementar na tarefa de abordar todo o ciclo do desenvolvimento seguro e acelerar a maturidade de AppSec nas empresas. Mais do que ações preventivas e corretivas, ajuda também a promover uma mudança cultural nas empresas.
Centraliza, potencializa e coexiste com outras ferramentas - Seu time não vai necessariamente precisar abandonar todas as ferramentas que já adquiriu. Pelo contrário - a Conviso Platform suporta as principais soluções em ferramentas de Continuous Integration e Continuous Delivery, além de outras soluções do mercado. Nossas integrações são atualizadas constantemente, para oferecer mais autonomia a desenvolvedores.
Faz orquestração de análises de segurança - Um dos cinco produtos que integram a nossa plataforma é o Secure Pipeline, uma solução ASTO (Application Security Testing Orchestration) que se integra a ferramentas de análise de código, permitindo uma gestão proativa a cada novo deploy realizado por times de desenvolvimento. Além disso, ele unifica os resultados, possibilitando uma visão geral das vulnerabilidades. Ela ainda centraliza a comunicação dos times de segurança e desenvolvimento, possibilitando uma gestão unificada dos times.
Muitas pessoas
desenvolvedoras, mas pouco foco em AppSec
Não é raro, na Conviso, nos depararmos com casos de empresas do varejo que contam com equipes muito grandes de desenvolvedores.
Muitas vezes contratam ainda equipes terceirizadas, ou mesmo relatam o excesso de squads. Esses fatores, por si só, não seriam problemas caso a cultura de segurança já estivesse bem difundida no setor - o que ainda não é o caso.
Em 2022, quando realizamos nossa pesquisa sobre o mercado brasileiro de segurança de aplicações, perguntamos: “a empresa em que você trabalha possui conhecimento suficiente ou satisfatório sobre AppSec?".
No intuito de ajudar a desenvolver o mindset dos desenvolvedores para a importância da segurança, a Conviso Platform:
É uma plataforma dev first - foi criada com base na rotina, desafios e obstáculos da pessoa desenvolvedora, que ganha maior protagonismo e autonomia. Para isso, integra-se totalmente às ferramentas utilizadas por Devs, como, por exemplo, o Jira, para que profissionais não precisem sair do ecossistema ao qual estão acostumados.
Centraliza, potencializa e coexiste com outras ferramentas - Por meio do People & Culture, a Conviso Platform oferece uma solução de capacitações em AppSec, com desafios de código seguro baseados no dia a dia do desenvolvimento.
Gamificação para engajar e conscientizar - Os desafios de gamificação do People& Culture promovem engajamento dos times, e fazem com que o aprendizado ocorra de maneira ativa. Como resultado, gera ainda mais awareness sobre a importância da segurança.
Dos entrevistados, 54,5% relataram que a empresa em que trabalham está investindo em melhorias neste sentido. Já outros 21,2% responderam que não. Apenas 18,2% responderam que sim.
O desafio, então, é levar o tema de segurança para todos os envolvidos e lutar contra a ideia errada, porém infelizmente amplamente difundida, de que a segurança é um empecilho para o desenvolvimento.
O desafio, então, é levar o tema de segurança para todos os envolvidos e lutar contra a ideia errada, porém infelizmente amplamente difundida, de que a segurança é um empecilho para o desenvolvimento.
Sazonalidade versus Falta de uma cultura de segurança risco
A sazonalidade faz com que o varejo se depare com períodos de altas comerciais, como Black Friday, Natal ou mesmo o Dia das Mães. No entanto, é nos períodos em que atraem mais vendas, que aumenta também a probabilidade de uma invasão, ou incidente de segurança. E normalmente isso é abordado de forma errada pelas equipes de desenvolvimento dessas empresas, que deixam para realizar um ou dois pentests ao ano, apenas na iminência destes períodos. Esses pentests casuais apontam os problemas, mas não resolvem a causa, fazendo com que a cada versão, novas vulnerabilidades apareçam.
Além disso, pelo grande foco em e-commerce, precisam também garantir que o ambiente e o código suportem a quantidade excessiva de acessos. E é por meio da conscientização em segurança e treinamentos que o mindset da segurança se desenvolve.
Para se certificar de que a segurança seja uma prioridade contínua das empresas, a Conviso Platform:
Posiciona a segurança no início do desenvolvimento - Colocar a segurança já nas etapas de arquitetura de software é essencial para a construção de um software de qualidade. A Conviso Platform faz isso por meio do Secure by Design, produto que ajuda na implementação de uma abordagem shift-left ao processo de desenvolvimento, e que conta com recursos como modelagem de ameaças, definições de riscos e muito mais. Um verdadeiro aliado na otimização do tempo e do orçamento de equipes de segurança e desenvolvimento.
Se antecipa a possíveis ataques - Por meio da modelagem de ameaças, o Secure by Design busca identificar as possíveis ameaças que uma aplicação pode estar exposta. Com a visão desse cenário, são identificados os requisitos de segurança para atenuar ou eliminar estes cenários. Já por meio do Secure Pipeline, a Conviso Platform se integra a ferramentas de análise de código, permitindo uma gestão proativa a cada novo deploy realizado por times de desenvolvimento de empresas do varejo.
Testagem e monitoramento constantes - Por meio do Attack Surface, a Conviso Platform ajuda a identificar, testar e monitorar sua superfície de ataque constantemente e ao longo de todo o ano - e não apenas em períodos de maior tráfego. Assim, incidentes de segurança são evitados com uma abordagem proativa - priorizando a segurança constantemente.
Monitore constantemente por meio do Attack Surface, identifique, teste e monitore constantemente sua superfície de ataque, evitando incidentes de segurança com uma abordagem proativa - priorizando a segurança constantemente.
A Conviso Platform pode transformar a rotina de sua empresa
Com a missão de apoiar todo o ciclo de desenvolvimento seguro e acelerar a maturidade de AppSec nas empresas, a Conviso Platform é uma solução SaaS que empodera desenvolvedores na construção de aplicações mais seguras. Foi criada com base na OWASP SAMM, o modelo de maturidade que define práticas de segurança que atendem a todo o ciclo de vida do software.