Checklist de segurança para CTOs de SaaS Ver.3

• Explica, por categoria, os itens essenciais de segurança que um CTO deve cuidar

→ incluindo links relacionados para leitura, ferramentas recomendadas, dicas etc.

• Funcionários

→ oferecer treinamento de segurança

→ aplicar 2FA

→ bloqueio automático do computador

→ evitar compartilhamento de contas

→ criptografia de computadores/celulares pessoais - Jamf, Canonical Landscape

→ checklist de onboarding / offboarding

→ usar gerenciador de senhas - dashlane, lastpass, onelogin

→ criar e operar um checklist de code review focado em segurança -

→ gerenciamento centralizado de contas

→ ferramentas de prevenção contra malware & vírus - stormshield

→ contratar um engenheiro de segurança

• Código

→ gerenciar bugs de segurança como bugs comuns

→ separar secrets do código - envkey, vault, secret-manager

→ não implementar cryptography por conta própria; usar bibliotecas

→ aplicar ferramentas de Static Code Analysis

→ realizar sessões de teste com foco em segurança

→ automatizar segurança em todo o ciclo de vida de desenvolvimento de software (SDLC)

→ fazer onboarding de treinamento de segurança para engenheiros de software - safecode, pagerdugy sudo

• Aplicação

→ automação de segurança para produtos em produção - snyk, checkov

→ segurança de FaaS

→ rastreamento de dependências - snyk, dependabot

→ executar com uma conta diferente de root (unprivileged)

→ serviço de proteção em tempo real (Runtime Application Self Protection, RASP)

→ contratar uma equipe externa de testes de intrusão

• Infraestrutura

→ fazer backup, testar restore e fazer backup de novo - tarsnap, quay

→ testes básicos de segurança do site - securityheaders, ssllabs

→ isolar assets no nível de rede

→ manter o OS & as imagens Docker atualizados - watchtower , spacewalkproject

→ varredura automática de segurança de imagens de contêiner - quay, vulerability & image scanning

→ aplicar TLS em todos os sites & APIs

→ centralizar todos os logs, arquivar e torná-los significativos - loggly, kibana

→ monitorar serviços expostos - checkup

→ proteger contra ataques DDOS - fastly, cloudflare, cloudfront

→ bloquear o acesso a serviços internos por IP

→ detectar padrões anômalos nas métricas - newrelec , sysdig

• Empresa

→ ser honesto e transparente sobre todos os dados coletados

→ criar uma cultura próxima à segurança - Security Culture Framework

→ não compartilhar a rede WiFi com visitantes

→ verificar a segurança de todos os principais serviços third-party - Google Apps/Slack/WordPress etc.

→ verificar a proteção do nome de domínio - renovação automática e outros recursos de bloqueio

→ verificar a política pública de segurança

→ usar ferramentas para priorizar a segurança

→ preparar o scaling da segurança

→ criar um programa de Bug Bounty - hackerone, cobalt

→ criar um inventário dos ativos da empresa

→ criar políticas internas de segurança

→ se preparar contra phishing de domínio

• Usuários do produto

→ aplicar política de senhas

→ reforçar a proteção da privacidade dos usuários: bloquear engenharia social

→ recomendar 2FA aos usuários. SSO e gerenciamento de contas baseado em funções - auth0, okta, WebAuthn

→ detectar comportamento anômalo dos usuários - castle