[Owasp-brazilian] Segurança em Desenvolvimento é custo?

Fabricio Braz fabricio.braz at gmail.com
Wed Jan 12 09:21:51 EST 2011


Olá Wagner e demais,

Seguem outros esclarecimento sobre minhas ponderações.

Abraço,

Fabricio Braz, PhD

2011/1/12 Wagner Elias <wagner.elias at gmail.com>

> Fabricio,
>
> argumentos em linha.
>
> Em 11 de janeiro de 2011 14:42, Fabricio Braz
> <fabricio.braz at gmail.com> escreveu:
> > Olá Pesso at l,
> >
> > Seguem minhas impressões do que foi colocado até agora:
> >
> > 1 - Sobre a utilidade do BSIMM - suporte para institucionalizar um
> programa
> > de segurança de software. Apesar de ser muito voltado para verificação,
> > existem atividades de engenharia, além do destaque especial treinamento,
> > inclusive dos gestores, para que tenham consciência do risco que estão
> > assumindo. Lembrando que no Brasil:
> >
> > CÓDIGO CIVIL: Art.932- São também responsáveis pela reparação civil:
> > III–o empregador ou comitente, por seus empregados, serviçais e
> prepostos,
> > no exercício do trabalho que lhes  competir, ou em razão dele; (responde
> > objetivamente pelos danos causados, independentemente de culpa)
> >
> > Novo Código Civil - 2002
> >
> > Art.1011. O administrador da sociedade deverá ter, no exercício de suas
> > funções, o cuidado e a diligencia que todo homem ativo e probo costuma
> > empregar na administração de seus próprios negócios;
> >
> > Art.1016. Os administradores respondem solidariamente perante a sociedade
> e
> > os terceiros prejudicados, por culpa no desempenho de suas funções.
> > Fonte: ApresentaçãoPatriciaPeck
> >
> > Não acredito que o BSIMM resolva, nem que ele se proponha resolver, o
> > problema da segurança de software na sua gênese, que na minha opinião
> está
> > na conscientização do desenvolvedor sobre segurança, antes mesmo dele
> > conhecer seu primeiro comando de programação. Não acredito que modelo
> algum
> > consiga em si equacionar essa questão.
>
> Wagner: Concordo com você que existe coisas interessantes no BSIMM. Só
> o fato dele consolidar uma série de análises em empresas que "fazem a
> coisa certa" já uma boa métrica. Mas como conversamos, deve ser
> aplicado o que melhor se adequa a organização e isto nunca vai estar
> em modelo só.
>

Estamos alinhados com relação a este ponto.


> >
> > 2 - Sobre a aplicabilidade do BSIMM - quem observar a dimensão das
> > organizações analisadas para o seu desenvolvimento reconhecerá facilmente
> > que ele não se mostra adequado a qualquer "euquipe". O fato de metade das
> 30
> > empresas ter mais do que 3000 e que a menor tenha 40 devs é muito
> revelador.
> > Apesar disso, não se pode negar que o modelo forneça insights para ações
> de
> > seg. no desenv., assim como centenas de sites, blogs, especs. Nessa
> função
> > ele é apenas + 1.
> >
> > Qtde Devs
> > Menor: 40 | Média: 5061 | Mediana: 3000 | Maior: 30.000
> > Fonte: BSIMM2
>
> Wagner: Acho que isto não é o problema do BSIMM. Hoje quaquer
> organização média/grande que tenha uma aplicação que suporte a sua
> atuação core tem uma equipe com mais de 30 desenvolvedores, vejo isto
> todos os dias. A "euquipe" não funciona com nenhum processo. Por mais
> que ele execute todos os papéis e responsabilidades de um processo não
> ficará bom. Vocês lembram do Citizen Programmer do Official Guide. ;-)
>

Estamos alinhados com relação a este ponto.


> >
> > 3 - Sobre o custo - considerando que a segurança dentre os requisitos
> > não-funcionais tem sido pouco privilegiada ao longo da história da eng.
> de
> > software, isso faz com que até os ciclos de desenvolvimento de mais alta
> > qualidade tenham dificuldades nesse quesito, aumentando a duração do
> ciclo.
> > Além do fato da necessidade de RH raro ($$$) no mercado, para que consiga
> > alavancar a segurança de software. Se considerarmos um ambiente ideal, no
> > qual requisitos funcionais e não funcionais são desenvolvidos com
> perfeição,
> > não teríamos aumento de custo.
>
> Wagner: Pelo que vejo na discussão estamos creditando o custo de ter
> um processo de desenvolvimento de qualidade na conta de segurança e
> isto é um erro. Sobre o custo do profissional, um bom profissional de
> desenvolvimento é tão "caro" quanto um bom profissional de segurança.
> Caro entre aspas, pois caro é o que não se justifica e um bom
> profissional sempre vai trazer um retorno.
>

Minha defesa é que:
1 - Segurança é um requisito não-funcional de qualidade.
2 - A engenharia de software clássica não instrumentaliza o ciclo de
desenvolvimento para tratar da segurança.
3 - As instituições ainda não formam desenvolvedores qualificados em
segurança. Por consequência, a busca por esse profissional é infinitamente
mais árdua do que a busca por um bom desenvolvedor. Pela experiência que
tenho tido, não se encontra. O caminho é formar desenvolvedores no assunto.
4 - Consequentemente, aumento de custo.

A segurança de software vai vai adicionar custo

> >
> > A discussão me remeteu a outra reflexão:
> >
> > Qual seria o custo de implantar um programa de segurança de software sem
> um
> > modelo como BSIMM/OpenSAMM?
>
> Wagner: Não entendi este ponto. O que ele fez foi consolidar as
> atividades que foram utilizadas em empresas que possuem segurança em
> desenvolvimento, mas não trouxe nada novo. Respondendo a pergunta:
> IMHO o custo seria o mesmo. ;-)
>

O fato de consolidar essa informação em um modelo, pode economizar muito
tempo ($$$) para as organizações com interesse em promover a melhoria
contínua em segurança no desenvolvimento, sem poder contar com um peritos no
assunto, incorrendo naturalmente à metodos de tentativa e erro.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20110112/736a2993/attachment-0001.html 


More information about the Owasp-brazilian mailing list