Retorno Sobre o Investimento de um Processo Seguro de Desenvolvimento

  • Article

Quando uma organização cosidera a implementação de um processo de desenvolvimento de software seguro como o Microsoft SDL, três perguntas são comumente feitas pela gerência:

1. Quanto isso vai custar?

2. Como posso medir os resultados?

3. Como posso justificar o investimento?

Para auxiliar as organizações a responder a estas perguntas e definir um processo que seja acessível, mensurável e justificável, a Microsoft e a iSec Partners publicaram o documento Microsoft SDL: Return on Investment (em inglês).

Este documento é baseado na experiência real de 7 anos de uso e evolução do processo SDL na Microsoft e em outras organizações, e tem como objetivos ajudar equipes de desenvolvimento a:

¦ Entender e comunicar os benefícios de uma abordagem estruturada no desenvolvimento de um software com segurança.

¦ Desenvolver e usar métricas para melhorar o processo e definir o retorno sobre o investimento (ROI).

¦ Obter resultados concretos e otimizar o uso de um orçamento limitado.

O documento também referencia recursos que organizações podem utilizar ao começar a implementação de um processo de desenvolvimento seguro, como o Microsoft SDL Developer Starter Kit, um conjunto completo de materiais de treinamento em desenvolvimento seguro para uso dentro da organização, e o modelo de maturidade SDL Optimization Model que ajuda organizações a definir a estratégia de implementação do processo.

Uma dica interessante que o documento recomenda para organizações começando a implementar hoje o processo é se concentrar nas fases iniciais do processo, que são as que o processo obtém a melhor relação custo/benefício em termos de redução de vulnerabilidades. Educação da equipe, correta especificação dos requerimentos e modelagem de ameaças vão em princípio oferecer melhor ROI do que um investimento em ferramentas de verificação estática de código e testes de penetração, que ocorrem mais tarde dentro do processo. O que não quer dizer que todas estas atividades não tenham valor.

Para mais informações sobre a justificativa de negócio de um processo de desenvolvimento seguro, veja os demais recursos existentes na página The Business Case for the Microsoft Security Development Lifecycle.