O OWASP (Open Web Application Security Project) é uma comunidade internacional aberta, com foco na melhoria da segurança dos sistemas de software na web. Em março de 2011 a divisão brasileira da comunidade publicou uma carta aberta ao Governo Brasileiro. É um documento de 18 páginas, apresentando questões sobre a atuação do governo na segurança da internet.
Inicialmente, o documento aborda a situação atual da web brasileira, apontando incidentes de segurança ocorridos recentemente, como por exemplo o pane nos sistemas do Detran e o vazamento de informações do ENEM. Além disso apresenta inúmeras e estatísticas como os incidentes reportados pelo CERT.br.Também é apresentado o Projeto OWASP e suas principais características, como o fato de que todas as suas ferramentas e documentos são gratuitos, além de usarem licença de software livre ou Creative Commons.
Na sessão “O que pode ser feito?”, o documento faz uma série de recomendações, divididas conforme o foco de cada órgão governamental:
Legisladores
- Permitir e incentivar pesquisas sobre ataques e defesas cibernéticas
- Requerer a publicação de avaliações de segurança
- Responsabilizar organizações que não tratem com diligência os aspectos de segurança de aplicações
- Exigir que a administração pública tenha acesso às atualizações de segurança de qualquer software durante a sua vida útil
- Exigir a abertura do código fonte de aplicativos utilizados pela administração pública cuja vida útil tenha terminado
- Eliminar licenças de software que isentam os fabricantes da responsabilidade com a segurança de seus produtos
Defesa do Consumidor
- Atuar para restringir o uso de licenças de software abusivas
- Exigir que os fabricantes divulguem informações inteligíveis sobre o nível de segurança de seus produtos e/ou serviços
- Exigir um nível adequado de segurança de sistemas que lidem com dados que possam afetar a privacidade dos consumidores ou cidadãos
- Definir que os consumidores devem ser informados dos possíveis usos dos dados inseridos em sistemas ou sites
- Estabelecer campanhas de conscientização de segurança para os consumidores
Controle
- Definir claramente as responsabilidades com relação aos aspectos de segurança de aplicações
- Verificar e auditar para garantir que práticas adequadas de segurança são adotadas
- Inserir os aspectos de segurança de aplicações em seus regulamentos e/ou recomendações setoriais
- Facilitar a criação de um mercado de seguros para a segurança de aplicações
- Requerer o uso de conexões criptografadas (SSL) para aplicações web
Ensino e Pesquisa
- Inclusão das boas práticas de segurança de aplicações no conteúdo dos cursos
- Definição de cursos avançados para formação de mão-de-obra na área
- Fomentar e financiar pesquisas sobre segurança de aplicações
- Promover a formação de profissionais capazes de atuar com ética e responsabilidade
Todos os órgãos públicos
- Financiar validações e correções de segurança para sistemas de código aberto
- Promover o uso de tecnologias e metodologias de segurança de aplicações
- Promover e permitir testes de segurança de forma responsável mas aberta
- Promover treinamento e conscientização dos gestores para os desafios da segurança na web
O OWASP apresenta ainda vantagens de mercado competitivas para o Brasil, ao se investir na estrutura de segurança dos seus órgãos, sites e sistemas. Além disso mostra como o projeto pode ajudar o país, com o suporte dos seus documentos traduzidos e especialistas voluntários.
O documento completo (PDF) está disponível aqui.
Fonte: Seginfo