Especialização
em Segurança
da Informação
Segurança em Aplicações
1. Introdução
Márcio Aurélio Ribeiro Moreira
[email protected]
http://si.lopesgazzani.com.br/docentes/marcio/
Motivação
 A TI apoia todas as áreas do conhecimento
 As aplicações são amplamente utilizadas (em redes
locais e na Internet)
 As aplicações são alvo de ataques
 Ao violar uma aplicação, o espião obtém todos os
direitos de acesso dela
 Os gastos com detecção, tratamento, recuperação e
proteção de incidentes de segurança são altos
 Não é mais barato desenvolver códigos seguros?
 A especificação, desenvolvimento e testes são
fundamentais para isto
Márcio Moreira
1. Introdução – slide 2
Segurança em Aplicações
Impacto nos negócios
Márcio Moreira
1. Introdução – slide 3
Segurança em Aplicações
Conceitos
 Ativos:
 Tudo aquilo que possui valor para uma organização
 Ex: Hardware, software, informações, processos, pessoas, etc.
 Vulnerabilidades:
 Falha de segurança (fraqueza diante das necessidades)
 Ameaças:
 Qualquer atividade que represente possível perigo aos ativos
 Ataques:
 Resultado da exploração de uma vulnerabilidade para
comprometer um ativo
 Riscos:
 Probabilidade x Impacto causado por uma perda causada por
um ataque
Márcio Moreira
1. Introdução – slide 4
Segurança em Aplicações
Processo contínuo
Proteção
Ativo
Márcio Moreira
Vulnerabilidade
Ataque
1. Introdução – slide 5
Ameaça
Risco
Segurança em Aplicações
Pilares da segurança
 Confidencialidade
 Somente quem tem direito pode ver a informação
 Integridade
 A informação não pode ser adulterada
 Disponibilidade
 A informação deve estar acessível




Autenticidade:
Não repúdio:
Autorização:
Auditoria:
Márcio Moreira
O autor é realmente quem diz ser
O autor não pode negar a autoria
Gestão de credenciais e acessos
Registro e rastreabilidade de ações
1. Introdução – slide 6
Segurança em Aplicações
Objetivos da segurança
Proteger os ativos
Garantir os pilares da segurança durante
todo o ciclo de vida da informação
Evitar que as ameaças explorem as
vulnerabilidades
Evitar ou conter os ataques
Gerenciar e reduzir os riscos
Garantir a segurança da informação em
qualquer meio
Márcio Moreira
1. Introdução – slide 7
Segurança em Aplicações
Introdução à Engenharia de
Software
Márcio Moreira
1. Introdução – slide 8
Segurança em Aplicações
Fatores críticos de sucesso
Visão de Negócio (direção, gestão, administração)
Qualidade
Pessoas
(CHA)
Processos
Gestão de
Projetos
Infra-estrutura
TI/comunicação
Clientes
Márcio Moreira
Clientes
1. Introdução – slide 9
Segurança em Aplicações
Processos de desenvolvimento
 MSF – Microsoft Solutions Framework
 Fases: visão, planejamento, estabilização e instalação
 Disciplinas: projeto, riscos e competência
 Mais ágil e menos formal que o RUP
 RUP – Rational Unified Process
Processos
 Desenvolvido pela Rational (hoje da IBM)
 Processo mais utilizado atualmente
 XP – Extreme Programming
 Atividades: planejamento, projeto, codificação e teste
 Gera sensação de produtividade constante
Márcio Moreira
1. Introdução – slide 10
Segurança em Aplicações
Comparativo de disciplinas
Disciplinas x Metodologias
Cascata
MSF
Modelagem do Negócio
XP


Requisitos

Análise

Projeto




Implementação




Testes




Distribuição (Instalação )



Gestão de Configuração e Mudanças


Gestão de Projeto


Ambiente


Márcio Moreira
1. Introdução – slide 11

RUP



Segurança em Aplicações
Gestão de pessoas
Pessoas
(CHA)
 Competência (CHA):
 Conhecimentos:
 Habilidades:
 Atitudes:
Expertise em TI
Trabalho em equipe, comunicação, foco, ...
Assertividade, pró-atividade, ...
 Desenvolver pessoas  desenvolver a organização:
 Busca de propósitos comuns
 Busca da felicidade:
 Harmonia entre pensamentos, expressão e ações




Capacitação e certificações
Metas  Tensão Criativa  Superação
Motivação  Resultados  Motivação
Atração e retenção de talentos
Márcio Moreira
1. Introdução – slide 12
Segurança em Aplicações
Gestão de
Gestão de projetos (GP)
Projetos
 PMI – Project Management Institute:
 Project Management Body of Knowledge (PMBOK)
 Metodologia mais utilizada atualmente
 Prince2 – Metodologia do governo inglês:
 Adotada em vários países europeus
 TenSetp
 Processo de uma multinacional americana que é
representante do PMI
 Agile
 Resultante de um manifesto feito por 17 especialistas em
Fevereiro de 2001 em Utah – USA
 ISO 10006:
 A International Standards Organization tomou o PMI como
base e fez uma simplificação
Márcio Moreira
1. Introdução – slide 13
Segurança em Aplicações
PMI: 42 processos em 5 grupos
Iniciação
Planejamento
Gerência Integrada do Projeto
Controle
Execução
Encerramento
Fonte: PMB08
Márcio Moreira
1. Introdução – slide 14
Segurança em Aplicações