Especialização em Segurança da Informação
Segurança em Aplicações1. Introdução
Márcio Aurélio Ribeiro [email protected]://si.lopesgazzani.com.br/docentes/marcio/
Márcio Moreira1. Introdução – slide 2
Segurança em Aplicações
Motivação
A TI apoia todas as áreas do conhecimento As aplicações são amplamente utilizadas (em redes
locais e na Internet) As aplicações são alvo de ataques Ao violar uma aplicação, o espião obtém todos os
direitos de acesso dela Os gastos com detecção, tratamento, recuperação e
proteção de incidentes de segurança são altos Não é mais barato desenvolver códigos seguros? A especificação, desenvolvimento e testes são
fundamentais para isto
Márcio Moreira1. Introdução – slide 3
Segurança em Aplicações
Impacto nos negócios
Márcio Moreira1. Introdução – slide 4
Segurança em Aplicações
Conceitos
Ativos:Tudo aquilo que possui valor para uma organizaçãoEx: Hardware, software, informações, processos, pessoas, etc.
Vulnerabilidades:Falha de segurança (fraqueza diante das necessidades)
Ameaças:Qualquer atividade que represente possível perigo aos ativos
Ataques:Resultado da exploração de uma vulnerabilidade para
comprometer um ativo Riscos:
Probabilidade x Impacto causado por uma perda causada por um ataque
Márcio Moreira1. Introdução – slide 5
Segurança em Aplicações
Processo contínuo
AmeaçaVulnerabilidade
RiscoAtivo Ataque
Proteção
Márcio Moreira1. Introdução – slide 6
Segurança em Aplicações
Pilares da segurança
ConfidencialidadeSomente quem tem direito pode ver a informação
IntegridadeA informação não pode ser adulterada
DisponibilidadeA informação deve estar acessível
Autenticidade: O autor é realmente quem diz ser Não repúdio: O autor não pode negar a autoria Autorização: Gestão de credenciais e acessos Auditoria: Registro e rastreabilidade de ações
Márcio Moreira1. Introdução – slide 7
Segurança em Aplicações
Objetivos da segurança
Proteger os ativosGarantir os pilares da segurança durante
todo o ciclo de vida da informaçãoEvitar que as ameaças explorem as
vulnerabilidadesEvitar ou conter os ataquesGerenciar e reduzir os riscosGarantir a segurança da informação em
qualquer meio
Márcio Moreira1. Introdução – slide 8
Segurança em Aplicações
Introdução à Engenharia de Software
Márcio Moreira1. Introdução – slide 9
Segurança em Aplicações
Fatores críticos de sucesso
Visão de Negócio (direção, gestão, administração)
Qualidade
Pessoas(CHA)
Infra-estruturaTI/comunicação
Gestão deProjetos
Processos
Clientes Clientes
Márcio Moreira1. Introdução – slide 10
Segurança em Aplicações
Processos de desenvolvimento
MSF – Microsoft Solutions FrameworkFases: visão, planejamento, estabilização e instalaçãoDisciplinas: projeto, riscos e competênciaMais ágil e menos formal que o RUP
RUP – Rational Unified ProcessDesenvolvido pela Rational (hoje da IBM)Processo mais utilizado atualmente
XP – Extreme ProgrammingAtividades: planejamento, projeto, codificação e testeGera sensação de produtividade constante
Processos
Márcio Moreira1. Introdução – slide 11
Segurança em Aplicações
Comparativo de disciplinas
Disciplinas x Metodologias Cascata MSF RUP XP
Modelagem do Negócio
Requisitos
Análise
Projeto
Implementação
Testes
Distribuição (Instalação )
Gestão de Configuração e Mudanças
Gestão de Projeto
Ambiente
Márcio Moreira1. Introdução – slide 12
Segurança em Aplicações
Gestão de pessoas Pessoas(CHA)
Competência (CHA): Conhecimentos: Expertise em TI Habilidades: Trabalho em equipe, comunicação, foco, ... Atitudes: Assertividade, pró-atividade, ...
Desenvolver pessoas desenvolver a organização:Busca de propósitos comunsBusca da felicidade:
Harmonia entre pensamentos, expressão e ações
Capacitação e certificações Metas Tensão Criativa Superação Motivação Resultados Motivação Atração e retenção de talentos
Márcio Moreira1. Introdução – slide 13
Segurança em Aplicações
Gestão de projetos (GP)Gestão de
Projetos
PMI – Project Management Institute:Project Management Body of Knowledge (PMBOK)Metodologia mais utilizada atualmente
Prince2 – Metodologia do governo inglês:Adotada em vários países europeus
TenSetpProcesso de uma multinacional americana que é
representante do PMI Agile
Resultante de um manifesto feito por 17 especialistas em Fevereiro de 2001 em Utah – USA
ISO 10006:A International Standards Organization tomou o PMI como
base e fez uma simplificação
Márcio Moreira1. Introdução – slide 14
Segurança em Aplicações
PMI: 42 processos em 5 grupos
IniciaçãoPlanejamento
ExecuçãoControle
Encerramento
Gerência Integrada do Projeto
Fonte: PMB08