Use Case
Como uma plataforma completa de DevSecOps pode transformar a rotina de uma instituição financeira
Appsec é importante em todos os setores - mas para bancos e instituições financeiras, é crucial.
Quando o tema é segurança de aplicações, além de estar regida por uma regulamentação forte, uma instituição financeira está também exposta a riscos altos. Afinal, o impacto, caso alguém mal-intencionado obtenha sucesso na exploração, é alto - tanto para a instituição, quanto para seus clientes. Soma-se a isso o fato que a probabilidade de uma invasão acontecer é também mais alta para esse tipo de instituição - uma vez que são altamente visadas.
Isso é especialmente preocupante, uma vez que, dependendo de como lidam com segurança de aplicações, é a reputação e confiança da instituição com seus clientes que ficam em cheque. Além disso, não podemos deixar de lado ainda as questões legais, como custos de restituição e danos à imagem.
Construção segura de software
Reduzir drasticamente a probabilidade de uma vulnerabilidade ser explorada
Monitoramento
Identificar vulnerabilidades, antes que um usuário mal intencionado possa identificá-las
Resposta
Reagir de maneira ágil, eficaz e adequada a possíveis incidentes
Conscientização e capacitação
Para que AppSec se torne uma cultura entre os times de segurança e desenvolvimento
Na busca por um processo que se adeque à rotina da instituição, não é incomum nos depararmos com bancos e instituições financeiras que relatam que adquiriram um número alto de ferramentas para os times de desenvolvimento e segurança para que lidem com AppSec.
Além de não resolver a causa do problema, acaba gerando outros: muitas dessas ferramentas são concebidas para atuar em vários cenários e em vários modelos de trabalho, o que as torna, por vezes, genéricas. Em alguns casos, apesar de eficazes, seu excesso muitas vezes dificulta uma visão completa acerca da real situação por parte do time.
Com isso, muitas vezes a instituição acaba se adequando ao processo da ferramenta. Ou ainda, deixam a ferramenta de lado e procuram outras, gerando retrabalho e gastos desnecessários.
É uma plataforma completa de DevSecOps - Com a missão de apoiar todo o ciclo de desenvolvimento seguro e acelerar a maturidade de AppSec nas empresas, a Conviso Platform é composta por cinco produtos - e cada um deles realiza um papel indispensável e complementar neste propósito, ao contemplar não apenas ações preventivas e corretivas, mas também, ao promover a cultura de AppSec dentro das empresas.
Centraliza, potencializa e coexiste com outras ferramentas - Seu time não vai necessariamente precisar abandonar todas as ferramentas que já adquiriu. Pelo contrário - a Conviso Platform suporta as principais soluções em ferramentas de Continuous Integration e Continuous Delivery, além de outras soluções do mercado. Nossas integrações são atualizadas constantemente, para oferecer mais autonomia a desenvolvedores.
Gestão unificada de seu processo de AppSec esse é um grande diferencial de se obter uma plataforma completa de DevSecOps. Com nossa solução, você centraliza a comunicação dos times de segurança e desenvolvimento. Nossa plataforma controla as políticas de risco, agrega o resultados das análises, faz a correlação e gestão das vulnerabilidades, controla o workflow de correção, faz a gestão dos deploys, controla indicadores, entre outras funcionalidades.
Em um mundo cada vez mais digital, é esperado que devs criem e implementem software mais rápido do que nunca. Mas isso gera um grande problema: equipes de segurança geralmente não conseguem acompanhar a velocidade acelerada do desenvolvimento de software - e passam a ser vistas, muitas vezes, como um obstáculo para as entregas.
Isso acaba gerando fricção entre os times, e baixo engajamento cultural por parte dos devs, que ficam sufocados entre entregas.
É uma plataforma dev first - e isso significa que ela foi criada pensando justamente na rotina, desafios e obstáculos da pessoa desenvolvedora, que ganha maior protagonismo e autonomia. Para isso, integra-se totalmente às ferramentas utilizadas por devs, como, por exemplo, o Jira.
Centraliza, potencializa e coexiste com outras ferramentas - Por meio do People&Culture, a Conviso Platform oferece uma solução de capacitações em AppSec, com desafios de códigos baseados no dia a dia do desenvolvimento de cada instituição financeira.
Oferece gamificação para engajar os desafios via gamificação promovem engajamento dos times e promovem o aprendizado de maneira ativa.
No Brasil, não existe apenas uma lei que contemple cibersegurança, mas sim, uma série de leis, decretos e normas que garantem aos cidadãos o direito à privacidade dos seus dados quando estiverem utilizando a internet.
Muitos regulamentos de segurança e privacidade de dados (como, por exemplo - LGPD, PCI-DSS, Bacen 4893 , Marco Civil da Internet e o E-Ciber) descrevem requisitos para cibersegurança e segurança de aplicações. Essas normatizações descrevem ainda uma série de penalidades por violações.
É claro que segurança de aplicações não deve ser um investimento realizado apenas para entrar em conformidade com normas, mas uma prática realizada para oferecer produtos e serviços com mais qualidade e segurança para os usuários.
Com a Conviso Platform, tenha acesso a dados e insights que fornecem uma visão abrangente e consistente do risco de AppSec no nível corporativo. Aja de forma rápida e eficaz a possíveis incidentes.
Nossa plataforma oferece aos desenvolvedores os dados de que precisam para que atuem de forma ágil e certeira em cada tipo de incidente. Ela centraliza todas as informações relevantes, gerando dados e insights que permitem a correção de vulnerabilidades de forma rápida e inteligente.
Analise riscos a partir de padrões de ataque definidos pelo Common Attack Pattern Enumeration and Classification (CAPEC) do Mitre. Para mitigar as fragilidades da aplicação, gere requisitos fundamentados pelo OWASP ASVS (Application Security Verification Standard) - com base na lista de vulnerabilidades do Mitre. Todas essas funcionalidades são encontradas no Secure by Design.
Modelagem de ameaças trata-se de uma busca pela identificação de cenários que possam permitir a um atacante causar danos a uma aplicação. Com essa visão dos cenários, são identificados os requisitos de segurança para atenuar ou eliminar estes cenários. Na Conviso Platform, a Modelagem de Ameaças é realizada pelo Secure by Design.
Aja de forma proativa por meio do Secure Pipeline, a Conviso Platform se integra a ferramentas de análise de código, permitindo uma gestão proativa a cada novo deploy realizado por times de desenvolvimento de instituições financeiras. Ela também unifica os resultados, possibilitando uma visão geral das vulnerabilidades e fornecendo insights para correções mais rápidas e assertivas.
Monitore constantemente por meio do Attack Surface, identifique, teste e monitore constantemente sua superfície de ataque, evitando incidentes de segurança com uma abordagem proativa - priorizando a segurança constantemente.
Com a missão de apoiar todo o ciclo de desenvolvimento seguro e acelerar a maturidade de AppSec nas empresas, a Conviso Platform é uma solução SaaS que empodera desenvolvedores na construção de aplicações mais seguras. Foi criada com base na OWASP SAMM, o modelo de maturidade que define práticas de segurança que atendem a todo o ciclo de vida do software.