GESTO DA SEGURANA NO SDLC

Ciclo de vida do desenvolvimento do Software. (visando a segurana do software)

SOFTWARE

CARACTERSTICAS

desenvolvido por engenharia, no manufaturado.

No se desgasta, mas se deteriora.

A maioria feita sob medida, em vez de ser montado a partir de componentes existentes.

Feito por engenharia de Software / Software de prateleira (programas prontos contabilidade )

HARDWARE

Indicide de falhas : de acordo com uso

CURVA DE FALHA DO SOFTWARE

Alterna devido a novas solicitaes dos usurios / problemas so solucionados conforme a utilizao do programa

PROCESSO DE SOFTWARE

um conjunto de atividades que geram um produto.

H quatro atividades fundamentais:

Especificao do software. * Levantamento das necessidades (junto com o cliente)

Desenvolvimento do software * implementao / programao

Validao do software (Testes). * homologao

Evoluo do software. ( manuteno e suporte / novas necessidades)

ENGENHARIA DE SOFTWARE

Foco na qualidade

Qualidade Total = mudana cultural com abordagens maduras.

Processo = Conjunto de KPA (indicadores de reas chave).

Mtodo = como fazer. Inclui requisitos, projeto, implementao, teste e manuteno.

Ferramentas = CASE (Computer Aided Software Engineering).

Durante o processo de construo do software deve se evitar o desperdcio.

Qualidade
FERRAMENTA 5 S

1 S Senso de Seleo Seiri

2 S Senso de Ordenao Seiton

3 S Senso de Limpeza Seiso

4 S Senso de Padronizao Seiketsu

5 S Senso de Comprometimento Shitsuke

ENGENHARIA DE SOFTWARE

Com as mudanas no hardware:

maior capacidade de armazenamento,

evoluo dos computadores e sistemas sofisticados

software tem atingido patamares inimaginveis h bem pouco tempo.

Big data**

No desenvolvimento de software comum ocorrer erros.

A manuteno complexa.

Um erro de software no incio do projeto custa + - US$140 para ser

corrigido.

Um erro detectado na ps-implantao pode custar US$14.000.

Reuso

Criar bases que podem ser utilizadas novamente.

TRATAMENTO DE BUGS

necessrio conhecer as boas prticas de desenvolvimento e de

segurana.

Investir em segurana traz um retorno amplo no s para o projeto,

mas tambm para os usurios.

Menor investimento no tratamento de bugs, fazendo com que sejam

reduzidos tempo e recursos.

** No inicio de desenvolvimento deve apontar os requisitos corretamente**

SEGURANA DO SOFTWARE

Segurana nas fases: levantamento de requisitos, design,

implementao, verificao, lanamento da aplicao e
suporte e manuteno.

Vulnerabilidades, correo, adaptao e expanso

demandam mais pessoas e recursos do que o processo de
criao.
MODELOS DE DESENVOLVIEMNTO

Cascata

SCRUM

Prototipao

Iterativo e Incremental

Espiral
Requisitos visita ao cliente

Vai ser feito fase por fase / muito demorado / quase no utilizado

Repetio = Iterativo

Incremental = vai adicionado aos poucos

** Terminou uma parte incrementa no aplicativo e testa**

Criar um prottipo e apresentar ao cliente.

A medida do tempo vai passando feito uma nova verificao de acordo

com o escopo.

** Backlog conjunto de atividades que precisam ser desenvolvidas /

Prioridade Sprint**
** Reduzir a fatia da manuteno ao mximo

- implementar PMA PMBOK / Itil

- Saber empregar as ferramentas

PAPIS E RESPONSABILIDADES

CONCEITOS

Papis e responsabilidades dos profissionais de software.

Como influenciam nas atividades do projeto.

Como utilizam os recursos e como implementam.

 So responsveis em apresentar e implantar um conjunto de
prticas e metodologias aos programadores, o que resulta em
melhores aplicaes, com um excelente nvel de
confiabilidade, maturidade, integridade e inviolabilidade.

Esses 4 itens garantem a qualidade do software e das

informaes geradas.

Desafiadas pelo desenvolvimento de novas tecnologias.

Virtualizao, colaborao, servios em nuvem, Big Data.

Urgncia para modernizar e otimizar a infraestrutura de TI.

Servios de testes completos e complexos.

Avaliao do risco, configurao, segurana, desempenho.

Inteligncia Competitiva.

PLANEJAMENTO

As atividades de cada membro de software so definidas no

planejamento do projeto.

Requerimentos bsicos para que cada funo seja

desempenhada da forma mais segura possvel.

RESPONSABILIDADES DA EQUIPE EM RELAO AO SDLC

Proteo do software.

Os supervisores de segurana com informaes precisas.

Revisar a segurana antes da aplicao disponvel.

Buscar vulnerabilidades.

Garantir que as respostas sejam desejadas.

Desenvolver, manter e aprimorar a aplicao. (*novas

funcionalidades / aes obrigatrias)

Definir aes obrigatrias do processo.

Fornecer treinamento adequado. / todos devem saber o que

deve ser feito

Direcionar a equipe durante todo o processo.

 Supervisionar e rever a segurana.

REVISOR DE SOFTWARE (analista de teste )

Examina o cdigo do aplicativo.

Sugere correes ou adies.

Verifica e atestam um alto nvel de qualidade.

Garante qualidade, integridade, robustez e segurana.

Monitora testes simulados.

**Testes so fundamenteis para a garantia do software**

Documentar cenrios e detalhes.

Verificar as interfaces e os casos de testes.

Informar se a aplicao est funcionando dentro do que foi

proposto.

Verificar a performance do software.

Detectar e corrigir os problemas e erros causados pelas

inconsistncias.

** Simular aplicaes (banco) - cenrios-

DIRETRIZES DO WALKTHROUGH

O sistema culpado at que se prove o contrrio

O programador sempre inocente porque no est em

julgamento.

Um walkthrough no tem o propsito de avaliao.

Torne-o formal somente quando necessrio.

Torne cada walkthrough efetivo em termos de custo.

VANTAGENS DO WALKTHROUGH

Feedback
 O projeto tem maiores possibilidades de no ser cortado
mesmo estando atrasado.

Os resultados aparecem mais rapidamente, o que eleva o

moral dos implementadores.

A taxa de progresso medida pala quantidade de

funcionalidades entregues.

ESPECIALISTA

responsvel pela segurana.

Descobre falhas por meio de anlises.

Realiza atualizaes e controle de verses.

Corrige falhas o mais rpido possvel.

Avaliar as diversas tecnologias disponveis.

Vantagens e desvantagens de sua aplicao no software.

Observar o comportamento do usurio na fase de testes.

Assegurar que o planejado foi realizado.

Prevenir vulnerabilidades.

AUDITORES

Utilizam ferramentas para verificar se a aplicao atingiu as

metas e critrios definidos no planejamento.

So responsveis pelo procedimento de investigao do

processamento, simulao, anlise e avaliao dos dados.

** O que foi definido foi aplicado??

Planejamento estratgico >define > polticas de segurana

PAPEL DO AUDITOR
 Conhecer o ambiente de desenvolvimento.

Anlise, conferindo o planejado e os objetivos da aplicao.

Elaborar testes e simulaes, emitindo opinies e propostas

de melhorias.

FACILITADOR (lideres de projeto)

Coordenadores das atividades.

Lderes dos projetos.

Garantir metodologias de segurana

Trabalhar junto com o gestor.

Planejamento em todo o ciclo de desenvolvimento.

Viso expandida do software e seus processos.

Relacionamento com desenvolvedores e cliente.

( intermediao)

Mtricas de desenvolvimento de software.

Padres de segurana.
INTRODUO MODELAGEM DE AMEAAS

CONCEITOS

Processo de anlise de riscos, impactos e vulnerabilidades.

Estratgias de proteo a ataques e segurana da aplicao.

Documentao e do uso de metodologias.

ORIGEM DA MODELAGEM DE AMEAAS

Conceito militar (USA)

Hoje sua estruturao voltada ao software.

Ferramentas que mapeiam os riscos associados aplicao

ajudando a trat-los.

Envolve anlise de riscos, motivao, capacidade, viabilidade

e cenrios de defesa face a um possvel ataque.

Para uma linguagem de segurana:

Mapeamento de exploits (elaborados por hackers que tiram

proveito de uma vulnerabilidade).

** Conjuto de instrues = exploits**

DEFINIO DA MODELAGEM DE AMEAAS

Processo composto de cenrios de ataque e vulnerabilidades.

Identifica os nveis de risco e impacto que podem

comprometer a proteo do software.

O QUE SO VULNERABILIDADES?

Fragilidades presentes ou associadas a ativos que manipulam

ou processam informaes.

Ao ser explorada por ameaas, permitem a ocorrncia de

incidentes, afetando negativamente os princpios de
segurana da informao.

Uma ameaa um possvel perigo que pode explorar uma

vulnerabilidade.

TRATAMENTO DAS VULNERABILIDADES DA APLICAO

A partir da anlise e estudo das ameaas e riscos.

 Comeando pelas que apresentam os maiores riscos at as
que so vistas como improvveis, mas que podem afetar o
software.

RISCOS QUE PRECISAM SER GERENCIADOS

Tecnologias emergentes

Exploso de dados e informaes

Mundo wifi

Privacidade dos clientes

Exigncia de conformidade

VULNERABILIDADES

Associao de riscos a marca da empresa

Perda de propriedade intelectual.

Exposio legal ou regulatria.

Informaes confidenciais de clientes.

Informaes estratgicas.

Altos custos para remediao de danos.

Interrupo dos negcios.

Hardware:

- Falha, desgaste, obsolescncia, mau uso.

- Erros durante a instalao.

- Ausncia de atualizaes de acordo com as orientaes dos

fabricantes dos softwares embarcados.

- A conservao inadequada dos equipamentos.

Software:

Erros de instalao ou de configurao possibilitando acesso

indevido, vazamento de informaes.

A configurao e a instalao indevidas dos programas ou

sistemas operacionais podem levar ao uso abusivo dos
recursos por parte de usurios mal-intencionados.

Comunicaes:
 Acessos no autorizados ou perda de comunicao.

A ausncia de sistemas de criptografia.

A m escolha dos sistemas de comunicao para envio de

mensagens de alta prioridade da empresa.

Humanas:

Falta de treinamento.

Compartilhamento de informaes confidenciais.

Falta de execuo de rotinas de segurana.

Erros ou omisses.

Sabotagem, distrbios, greves, roubo, furto, invases.

MTODOS DE IDENTIFICAO DE AMEAAS

STRIDE (Spoofing, Tampering, Repudiation, Information

Disclosure, Denial of Service, Elevation of Privilege), que pode
conter a verificao das ameaas de redes, de hosts e de
aplicao.

MTODO DE IDENTIFICAO DE AMEAAS: STRIDE

EXEMPLOS
COMO MITIGAR AS AMEAAS