A perspetiva da Cyber Academy
ISO 27034 é a norma de segurança de aplicações. Multi-parte. Cobre o ciclo de vida seguro do software: requisitos, conceção, construção, testes, implementação e manutenção. Menos conhecida do que a 27001 porque vive dentro do SDLC, mas é a única norma ISO que fala a linguagem das equipas de desenvolvimento. Combina naturalmente com as práticas OWASP e SBOM.
O que a norma ISO/IEC 27034 se propõe a fazer
A ISO/IEC 27034 é o membro dedicado à segurança de aplicações da família ISO/IEC 27000. Enquanto a ISO/IEC 27001 rege o sistema de gestão que conduz todo o seu programa de segurança da informação, a ISO/IEC 27034 estreita o foco a uma só coisa: construir e operar aplicações seguras ao longo de todo o ciclo de vida do software, desde os requisitos e a concepção até a construção, os testes, a implantação e a manutenção. É uma norma de várias partes, o que significa que as orientações estão distribuídas por vários documentos em vez de concentradas numa única especificação certificável, e essa forma diz algo sobre a sua intenção. Destina-se a informar como o desenvolvimento é conduzido, não a entregar a um auditor uma lista de verificação para assinalar.
A razão pela qual permanece em segundo plano enquanto a ISO/IEC 27001 recebe a atenção é estrutural. A maior parte de uma organização fala de políticas, registos de riscos e certificados; a ISO/IEC 27034 fala às pessoas que escrevem e entregam o código. Vive dentro do ciclo de vida de desenvolvimento de software (SDLC), de modo que o seu público é composto por programadores, arquitetos e engenheiros de segurança de aplicações, e não pela equipa de conformidade. Isso faz dela a norma ISO mais fluente na linguagem das equipas de desenvolvimento, e a que tem maior probabilidade de se ajustar de forma limpa ao modo como uma organização de engenharia realmente funciona no dia a dia.
A ideia do controlo de segurança de aplicações
O conceito organizador na ISO/IEC 27034 é tratar a segurança de aplicações como um conjunto de controlos verificáveis entretecidos no ciclo de vida, em vez de uma revisão de segurança acrescentada no final. A norma enquadra os requisitos de segurança como algo que se deriva do contexto da aplicação, dos dados que ela manuseia e das ameaças que enfrenta, e que depois se transporta através da concepção, da implementação e da verificação, de modo que cada controlo tenha um ponto definido onde é incorporado e um ponto definido onde é verificado. O efeito prático é que a segurança deixa de ser uma barreira na entrega e torna-se uma propriedade mantida em cada etapa, que é exatamente a mudança que a prática moderna de desenvolvimento seguro vem impulsionando há anos.
Como a norma é orientada a processos e modelada em torno do ciclo de vida, encaixa-se confortavelmente ao lado do material prescritivo e prático que as equipas já utilizam. Não substitui o OWASP Application Security Verification Standard nem o OWASP Top 10; dá-lhes um enquadramento de governação no qual se apoiar. Combina-se também naturalmente com a prática do software bill of materials (SBOM), em que saber exatamente quais componentes são entregues numa aplicação é o controlo da fase de manutenção que mantém o ciclo de vida honesto após a entrega. Usadas em conjunto, a ISO/IEC 27034 fornece a estrutura, e a OWASP e o SBOM fornecem as técnicas concretas e os inventários.
Onde se encaixa ao lado da ISO/IEC 27001
A forma mais clara de posicionar a ISO/IEC 27034 é como o detalhe da camada de aplicação sob um sistema de gestão ISO/IEC 27001. A ISO/IEC 27001 certifica que você opera um sistema de gestão de segurança da informação com avaliação de riscos e melhoria contínua, e o seu conjunto de controlos inclui expectativas de desenvolvimento seguro enunciadas a um nível elevado.
A ISO/IEC 27034 é onde você recorre para de facto implementar essas expectativas na engenharia: como os requisitos seguros são capturados, como os controlos são verificados, como a segurança viaja através do SDLC. Uma equipa certificada na ISO/IEC 27001 pode usar a ISO/IEC 27034 para dar substância aos seus controlos de desenvolvimento seguro, e uma organização de desenvolvimento pode usar a ISO/IEC 27034 para garantir que o código que entrega resistiria a esse sistema de gestão mais amplo.
Na prática, as organizações raramente se certificam face à ISO/IEC 27034 da forma como se certificam face à ISO/IEC 27001. Adotam-na como orientação, transpõem a estrutura de ciclo de vida para o seu próprio padrão de desenvolvimento seguro e referenciam-na quando precisam de uma base com autoridade para justificar por que a segurança de aplicações é tratada da maneira como é. Para uma pequena equipa, o valor é o mesmo que para uma grande empresa: uma forma reconhecida e neutra em relação ao fornecedor de descrever um SDLC seguro que auditores, clientes e programadores aceitam por igual.
Frequently asked questions
01A ISO/IEC 27034 é uma norma certificável?
É uma norma de várias partes destinada principalmente a servir de orientação para construir aplicações seguras ao longo do ciclo de vida, e não como uma especificação única face à qual as organizações tipicamente se certificam da forma como se certificam face à ISO/IEC 27001. A maioria das equipas adota-a para estruturar a sua prática de desenvolvimento seguro em vez de obter um certificado.
02Em que difere a ISO/IEC 27034 da ISO/IEC 27001?
A ISO/IEC 27001 rege todo o sistema de gestão de segurança da informação. A ISO/IEC 27034 estreita-se à segurança de aplicações ao longo do ciclo de vida de desenvolvimento de software, dando substância de engenharia aos controlos de desenvolvimento seguro que a ISO/IEC 27001 enuncia a um nível mais elevado.
03A ISO/IEC 27034 substitui a OWASP?
Não. As duas complementam-se. A ISO/IEC 27034 fornece a estrutura de ciclo de vida e o enquadramento de governação, enquanto recursos da OWASP, como o Top 10 e o Application Security Verification Standard, fornecem as técnicas e os testes concretos que você aplica no seu interior.
04Quem, numa organização, usa realmente a ISO/IEC 27034?
Destina-se às pessoas que constroem e operam software: programadores, arquitetos e engenheiros de segurança de aplicações. É por isso que é descrita como a norma ISO que fala a linguagem das equipas de desenvolvimento, já que vive dentro do SDLC em vez de na camada de políticas.
05Como se relaciona com a prática do SBOM?
Um software bill of materials apoia a fase de manutenção que a ISO/IEC 27034 trata como parte do ciclo de vida. Saber exatamente quais componentes são entregues numa aplicação permite-lhe manter eficazes os controlos de segurança de aplicações após a entrega, que é o tipo de verificação contínua que a norma espera.