Segurança em Aplicações 1. Introdução

Especialização em Segurança da Informação

Segurança em Aplicações1. Introdução

Márcio Aurélio Ribeiro [email protected]://si.lopesgazzani.com.br/docentes/marcio/

Márcio Moreira1. Introdução – slide 2

Segurança em Aplicações

Motivação

A TI apoia todas as áreas do conhecimento As aplicações são amplamente utilizadas (em redes

locais e na Internet) As aplicações são alvo de ataques Ao violar uma aplicação, o espião obtém todos os

direitos de acesso dela Os gastos com detecção, tratamento, recuperação e

proteção de incidentes de segurança são altos Não é mais barato desenvolver códigos seguros? A especificação, desenvolvimento e testes são

fundamentais para isto



Impacto nos negócios



Conceitos

Ativos:Tudo aquilo que possui valor para uma organizaçãoEx: Hardware, software, informações, processos, pessoas, etc.

Vulnerabilidades:Falha de segurança (fraqueza diante das necessidades)

Ameaças:Qualquer atividade que represente possível perigo aos ativos

Ataques:Resultado da exploração de uma vulnerabilidade para

comprometer um ativo Riscos:

Probabilidade x Impacto causado por uma perda causada por um ataque



Processo contínuo

AmeaçaVulnerabilidade

RiscoAtivo Ataque

Proteção



Pilares da segurança

ConfidencialidadeSomente quem tem direito pode ver a informação

IntegridadeA informação não pode ser adulterada

DisponibilidadeA informação deve estar acessível

Autenticidade: O autor é realmente quem diz ser Não repúdio: O autor não pode negar a autoria Autorização: Gestão de credenciais e acessos Auditoria: Registro e rastreabilidade de ações



Objetivos da segurança

Proteger os ativosGarantir os pilares da segurança durante

todo o ciclo de vida da informaçãoEvitar que as ameaças explorem as

vulnerabilidadesEvitar ou conter os ataquesGerenciar e reduzir os riscosGarantir a segurança da informação em

qualquer meio



Introdução à Engenharia de Software



Fatores críticos de sucesso

Visão de Negócio (direção, gestão, administração)

Qualidade

Pessoas(CHA)

Infra-estruturaTI/comunicação

Gestão deProjetos

Processos

Clientes Clientes



Processos de desenvolvimento

MSF – Microsoft Solutions FrameworkFases: visão, planejamento, estabilização e instalaçãoDisciplinas: projeto, riscos e competênciaMais ágil e menos formal que o RUP

RUP – Rational Unified ProcessDesenvolvido pela Rational (hoje da IBM)Processo mais utilizado atualmente

XP – Extreme ProgrammingAtividades: planejamento, projeto, codificação e testeGera sensação de produtividade constante

Processos



Comparativo de disciplinas

Disciplinas x Metodologias Cascata MSF RUP XP

Modelagem do Negócio

Requisitos

Análise

Projeto

Implementação

Testes

Distribuição (Instalação )

Gestão de Configuração e Mudanças

Gestão de Projeto

Ambiente



Gestão de pessoas Pessoas(CHA)

Competência (CHA): Conhecimentos: Expertise em TI Habilidades: Trabalho em equipe, comunicação, foco, ... Atitudes: Assertividade, pró-atividade, ...

Desenvolver pessoas desenvolver a organização:Busca de propósitos comunsBusca da felicidade:

Harmonia entre pensamentos, expressão e ações

Capacitação e certificações Metas Tensão Criativa Superação Motivação Resultados Motivação Atração e retenção de talentos



Gestão de projetos (GP)Gestão de

Projetos

PMI – Project Management Institute:Project Management Body of Knowledge (PMBOK)Metodologia mais utilizada atualmente

Prince2 – Metodologia do governo inglês:Adotada em vários países europeus

TenSetpProcesso de uma multinacional americana que é

representante do PMI Agile

Resultante de um manifesto feito por 17 especialistas em Fevereiro de 2001 em Utah – USA

ISO 10006:A International Standards Organization tomou o PMI como

base e fez uma simplificação



PMI: 42 processos em 5 grupos

IniciaçãoPlanejamento

ExecuçãoControle

Encerramento

Gerência Integrada do Projeto

Fonte: PMB08

Segurança em Aplicações 1. Introdução

Documents

Transcript of Segurança em Aplicações 1. Introdução