MVSP - Minimum Viable Secure Product (by Google)

Embora ainda jovem em sua concepção, o MVSP carrega consigo um potencial considerável de transformar nossa maneira de abordar segurança cibernética durante o processo de desenvolvimento seguro sob algum modelo de SDLC. O framework, referenciado como simples e fortemente orientado a agilidade, visa estabelecer um preset mínimo e viável de segurança para produtos e serviços corporativos, com foco mais minimalista orientado a controles que, num primeiro momento, farão realmente a diferença do seu programa, tentando (dentro do possível) gerar fricção reduzida.

Reconhecemos que, embora ainda embrionário (esse nos pareceu ser o primeiro artigo/post em português sobre), o MVSP promete ser uma jornada promissora rumo à proteção de nossos códigos, dados, sistemas e reputação online. Tendo o Google como membro fundador, e agora em consórcio com parceiros tecnológicos de vanguarda e referências no tema (Salesforce, NetFlix, CISA, Okta, Slack, Vanta, BitSight, SecureScoreCard, SafeBase, TerraTrue, SecureFrame...), o MVSP começa a dar as caras e verbalizar que pode ser facilmente incorporado em:

• Compras/SupplyChain

  Ajuda no processo de seleção de fornecedores, rever sua base de fornecedores legados e durante novas RFPs simplificando o trabalho da equipe de sourcing a partir de um conjunto claro de requisitos para produtos e serviços.

• Auto-avaliação

  Permite que empresas menores não maduras o suficiente para investir em grandes demandas de conformidade, possam usar o MVSP como base de mensuração da postura de segurança e, em paralelo, produzir um mapa de melhoria contínua gradual do processo e respectivos controles de acordo com seun momento e desvios.

• Ciclo de vida de desenvolvimento – SDLC

  Entende que priorizar “segurança como requisito” pode ser um desafio para as equipes de desenvolvimento que pretendem adicionar a camada de Segurança. O MVSP fornece um conjunto simples de controles mínimos fáceis de entender, integrar e posteriormente verificar sua respectiva conformidade e segurança.

• Contratuais

  Para garantir a postura de segurança de fornecedores terceirizados, permite que empresas possam incorporar controles MVSP em contratos-padrão. Ao garantir que terceiros conheçam e se engajem aos controles do MVSP na fase inicial da RFP/produto/projeto/parcerias, a concordância com os controles contratuais baseados no MVSP produz mecanismos robustos para avanço gradual do “sec by design” além de documentar objetivos de qualidade/segurança/privacidade e combinados contratuais que possam ser acionados futuramente em caso de desvios.

A versão atual do framework, apresenta um modelo de referência que contém 25 controles individuais, agrupados em 4 áreas.

= 1. NEGÓCIO
1.1 Relatórios externos de vulnerabilidade
1.2 Teste do cliente
1.3 Autoavaliação
1.4 Testes externos
1.5 Treinamento
1.6 Conformidade
1.7 Tratamento de incidentes
1.8 Tratamento de dados

= 2. DESENVOLVIMENTO DE APPS
2.1 Logon Unificado (SSO)
2.2 Somente HTTPS
2.3 Cabeçalhos de segurança
2.4 Política de senha
2.5 Bibliotecas de segurança
2.6 Patching & Dependências
2.7 Registro/Logging
2.8 Criptografia

= 3. IMPLEMENTAÇÃO DE APPS
3.1 Lista de dados
3.2 Diagrama de fluxo de dados
3.3 Prevenção de vulnerabilidades
3.4 Prazo de correção de vulnerabilidades
3.5 Processo de construção/building

= 4. OPERACIONAL
4.1 Acesso físico
4.2 Acesso lógico
4.3 Subprocessadores
4.4 Backup e recuperação de desastres

O material online oferece descrições extras sobre ações, exemplos de abordagens e indicadores esperados para cada uma das seções e objetivos de controles, além de arquivos/modelos “parseáveis” padronizados no formato OSCAL (Open Security Controls Assessment Language) que podem ser utilizados para comparar as versões MVSP contra controles esperados por ISO27001, 27017, 27018, CSA-CNM, NIST CSF ou mesmo serem utilizados como “payload” em ferramentas de Ticket Request/Visualização para acompanhamento dos seus épicos/estórias. De forma geral, até o momento identificamos alguns prós e contras do modelo.

PRÓS

Foco no fundamental: O MVSP concentra-se em estabelecer controles de segurança essenciais/fundamentais para proteger os ativos mais críticos da organização. Isso ajuda a priorizar os recursos, reduzir gastos em ações amplas/sem foco orientando os esforços de segurança nas áreas mais importantes. Importante reforçar que “essencial/fundamental” vêm antes do básico e caso tenha dúvida nessa ordem, utilize o exemplo do automóvel (quais itens são fundamentais para que o carro possa ser considerado carro e quais itens são básicos – aqueles que apenas alteram as letras do modelo-padrão e incrementam seu preço). Foque no fundamental e, só depois de cumprir este “nível de maturidade” pense em modelos mais elaborados.

Rápido desenvolvimento e implementação: Por se concentrar apenas nos controles mínimos necessários, o MVSP permite um desenvolvimento e implementação mais rápidos em comparação com programas de segurança mais abrangentes, ponto especialmente útil para organizações com recursos limitados ou prazos apertados. Iniciar com pequenas ações proporcionais ao alcance das equipes, executores e responsáveis por qualquer programa do gênero, ajuda no processo de motivação, visibilidade de resultados, diminui o “débito técnico” em times que, previamente não tenham tato apurado com o tema e, ajudam na promoção positiva do seu programa de aculturamento em SecDevOps (sim, usamos Sec no antes de DevOps justamente para promover imediatamente na taxomia/sintaxe da palavra o conceito de SLS).

Adaptação à escala: O MVSP pode ser escalonado e adaptado para atender às necessidades específicas de diferentes organizações, independentemente do tamanho ou do setor, tornando se flexível e aplicável em uma variedade de contextos. Usar MVSP atrelado a uma estratégia forte de SLS (shift left security) baseado em plataformas de CI/CD pode acelerar muito a correção de problemas do passado, impedir novas implementações inseguras e, literalmente, deslocar o contexto de SEC para os desejados modelos baseados em Security by Default que, aos olhos do autor do post, seria o principal indicador que deveria ser perseguido em qualquer programa de Segurança robusto e de alcance amplo/enterprise.

Foco em resultados: Ao estabelecer um programa de segurança mínimo viável, as organizações podem priorizar a obtenção de resultados tangíveis e mensuráveis em vez de se perderem em atividades de segurança excessivamente complexas ou não essenciais, o que, junto com os itens anteriores pode ser um excelente guia orientativo de como planejar sua estratégia e objetivos para o período/ano corrente na qual o programa será estabelecido. Importante que a sinergia e parceria com outros times sejam parte dos objetivos/indicadores e que, “embaixadores” possam ajudar no papel de replicação, conscientização (treine muito, com contexto e exemplos que representem sua realidade cotidiana), expansão e defesa do modelo. A medida que os resultados forem se concretizando, avalie transformar seu “Dev Security Champion” num “Security Champion” de verdade, que tenha olhar mais holista e possa, quando necessário, envolver as demais disciplinas de Segurança importantes para todo o contexto e não apenas orientadas unicamente ao processo de desenvolvimento.

Parcerias e integração: Diversos parceiros do setor, inclusive diversos fornecedores da área de Segurança, estão se integrando e participando do arranjo. Naturalmente estes controles passarão a fazer parte integrada de seus produtos em tempo estreito, não somente integrando controles de checagem mas incorporando by-default suas recomendações. Apenas como referência, diversos produtos existentes no GCP (Google Cloud Provider) já atendem o modelo e seguem/replicam suas orientações, facilitando a comprovação de aderência para ambientes construídos em nuvem caso opte por utilizar estes serviços.

Privacidade com Segurança: Sendo privacidade assunto em alta e cada vez mais necessário, o modelo considerou a preocupação a partir de 3 controles dedicados para o tema, assunto este cada vez menos indissolúvel ao tema de Segurança uma vez que não existe privacidade sem segurança.

CONTRAS/MELHORIAS

Risco por insuficiência de proteção: O MVSP pode deixar lacunas na proteção de ativos e dados críticos, uma vez que se concentra apenas nos controles mínimos necessários deste domínio. Isso pode expor a organização a riscos significativos, especialmente se enfrentar ameaças cibernéticas mais sofisticadas. Ainda não existe uma associação robusta com a disciplina de gerenciamento de riscos, mas uma vez que esta deve existir independente do modelo utilizado como INPUT, considere consumir esse canal para exceções ou desvios residuais.

Resiliência não apropriada: Uma abordagem baseada apenas no MVSP não fornece a resiliência necessária para lidar com incidentes de segurança graves, ataques cibernéticos avançados muito menos ações profundas baseadas em Planos de Continuidade de Negócios - BCP. Isso pode resultar em consequências graves para a organização, incluindo perda de dados, interrupção de serviços e danos à reputação. Se há necessidade neste momento da sua equipe de SRE interconectar com esta disciplina (normalmente é preciso mas nem todo o faz, priorizando por vezes apenas o foco de indispobilidade/resiliência que é apenas um dos eixos de hexágono de Segurança), considere fortemente a bidirecionalidade dos temas.

Conformidade limitada: O MVSP pode não ser suficiente para atender aos requisitos regulatórios ou de conformidade específicos da indústria. Isso pode resultar em penalidades legais ou financeiras para a organização, caso não cumpra as obrigações de segurança estabelecidas por órgãos reguladores que permeiem na temática de desenvolvimento.

Visão de curto prazo: O MVSP pode levar as organizações a adotar uma visão de curto prazo em relação à segurança da informação, concentrando-se apenas em resolver desafios imediatos. Isso pode impedir o desenvolvimento de uma cultura de segurança forte e sustentável a longo prazo. A medida que seu programa for avançando, pense previamente (antes de saturar ou gabaritar todos os controles) em como se movimentará para o próximo modelo mais maduro.

Finalizando, a OmniSec é desde 2024 o primeiro parceiro oficial LatAm de colaboração junto ao projeto MVSP. Adicionalmente, estamos em processo de implementação do MVSP junto a um cliente nacional que consome desenvolvimento interno e externo via parceiros no modelo de “fábrica de software”. Se utiliza o modelo em sua companhia e gostaria de trocar insights, oportunidades, riscos, aprendizados práticos e lições sobre a implementação e uso real do modelo em sua esteira de desenvolvimento, entre em contato com nossos colaboradores ou deixe seus comentários. Precisa de um racional/entendimento melhor sobre a aplicabilidade de cada subcontrole? Podemos ajudar.

Em posts futuros, publicaremos artigos sobre como OWASP Top10 em conjunto com a ISO-24772 e MVSP pode ser gradual e positivamente integrados e consumidos em seus negócios junto aos times de desenvolvimento, de produtos e de inovação. Fiquem ligados.