SEC11-BP01 Treinar para segurança de aplicações - AWS Well-Architected Framework
Orientação de implementação Recursos

SEC11-BP01 Treinar para segurança de aplicações

Forneça treinamento aos criadores em sua organização sobre práticas comuns para promover a segurança no desenvolvimento e na operação de aplicações. A adoção de práticas de desenvolvimento com foco na segurança ajuda a diminuir a probabilidade de problemas que são detectados somente no estágio de avaliação da segurança.

Resultado desejado: o software deve ser projetado e criado com a segurança em mente. Quando os criadores em uma organização são treinados em práticas de desenvolvimento seguras que começam com um modelo de ameaças, isso melhora a qualidade e a segurança gerais do software produzido. Essa abordagem pode reduzir o tempo de entrega do software ou de recursos porque não é necessário tanto retrabalho após o estágio de avaliação da segurança.

Para as finalidades desta prática recomendada, desenvolvimento seguro refere-se ao software que está sendo criado e às ferramentas ou aos sistemas compatíveis com o ciclo de vida de desenvolvimento de software (SDLC).

Antipadrões comuns:

  • Aguardar uma avaliação da segurança e, depois, considerar as propriedades de segurança de um sistema.

  • Deixar todas as decisões de segurança para a equipe de segurança.

  • Não comunicar como as decisões tomadas no SDLC se relacionam às expectativas ou as políticas de segurança gerais da organização.

  • Iniciar o processo de avaliação da segurança muito tardiamente.

Benefícios do estabelecimento desta prática recomendada:

  • Melhor conhecimento dos requisitos organizacionais para a segurança na fase inicial do ciclo de desenvolvimento.

  • Ser capaz de identificar e solucionar possíveis problemas de segurança com maior rapidez, promovendo uma entrega de recursos mais rápida.

  • Maior qualidade do software e dos sistemas.

Nível de exposição a riscos se esta prática recomendada não for estabelecida: médio

Orientações para a implementação

Ofereça treinamento aos criadores em sua organização. Iniciar um curso sobre modelagem de ameaças é uma boa base para ajudar a treinar para segurança. Preferencialmente, os criadores devem ser capazes de acessar de forma independente as informações relevantes às respectivas workloads. Esse acesso os ajuda a tomar decisões embasadas sobre as propriedades de segurança dos sistemas criados por eles sem a necessidade de solicitar outra equipe. O processo para envolver a equipe de segurança para avaliações deve ser claramente definido e simples de seguir. As etapas do processo de avaliação devem ser incluídas no treinamento de segurança. Quando houver padrões ou modelos de implementação disponíveis, eles deverão ser simples de encontrar e vincular aos requisitos de segurança gerais. Considere usar o AWS CloudFormation, as estruturas do AWS Cloud Development Kit (AWS CDK), o Service Catalog ou outras ferramentas de modelo para reduzir a necessidade de configuração personalizada.

Etapas da implementação

  • Oferecer aos criadores um curso sobre modelagem de ameaças para criar uma boa base e ajudar a treiná-los a pensar em segurança.

  • Conceder acesso ao treinamento do Treinamento da AWS and Certification, do setor ou de parceiros da AWS.

  • Fornecer treinamento sobre o processo de avaliação da segurança de sua organização, que esclarece a divisão de responsabilidades entre a equipe de segurança, as equipes de workload e outras partes interessadas.

  • Publicar orientações de autoatendimento sobre como atender aos seus requisitos de segurança, inclusive códigos de exemplo e modelos, se disponíveis.

  • Obter feedback regularmente de equipes de criadores sobre a experiência deles com o processo e o treinamento de processo de avaliação da segurança e usar esse feedback para promover melhorias.

  • Utilizar dias de jogo ou campanhas de bug bash para ajudar a reduzir o número de problemas e aumentar as habilidades de seus criadores.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados:

Exemplos relacionados:

Serviços relacionados: