ATPS Software Seguro Etapa 1 E 2
Dissertações: ATPS Software Seguro Etapa 1 E 2. Pesquise 862.000+ trabalhos acadêmicosPor: thims • 11/6/2013 • 3.460 Palavras (14 Páginas) • 816 Visualizações
Etapa 1
Princípios Básicos
Os princípios básicos de segurança em sistemas são:
• Confidencialidade: proteção da informação compartilhada contra acessos não autorizados; obtém-se a confidencialidade pelo controle de acesso (senhas) e controle das operações individuais de cada usuário (log);
• Autenticidade: garantia da identidade dos usuários;
• Integridade: garantia da veracidade da informação, que não pode ser corrompida (alterações acidentais ou não autorizadas);
• Disponibilidade: prevenção de interrupções na operação de todo o sistema (hardware + software); uma quebra do sistema não deve impedir o acesso aos dados.
Os objetivos da Segurança em Informática são:
• Preservação do patrimônio da empresa (os dados e as informações fazem parte do patrimônio);
• Manutenção dos serviços prestados pela empresa;
• Segurança do corpo funcional;
• Em caso de problemas: detecção das causas e origens dos problemas no menor prazo possível, minimização das consequências dos mesmos, retorno às condições normais no menor prazo, com o menor custo e com o menor trauma possíveis.
Os caminhos para alcançar estes objetivos são bastante claros:
• Detecção e análise dos pontos vulneráveis
• Estabelecimento de políticas de segurança
• Execução das políticas de segurança
• Acompanhamento
• Avaliação dos resultados contra os objetivos traçados
• Correção de objetivos e políticas
Basicamente, deve ser criado um Plano de Segurança (como evitar problemas) e um Plano de Contingência (o que fazer em caso de problemas).
É oportuno frisar que segurança absoluta não existe - ninguém é imune a ataques nucleares, colisões com cometas ou asteroides, epidemias mortais, sequestros, guerras.
Trata-se de descobrir os pontos vulneráveis, avaliar os riscos, tomar as providências adequadas e investir o necessário para ter uma segurança homogênea e suficiente. Se sua empresa fatura R$ 50.000,00 por mês você não pode ter a mesma segurança que uma empresa que fature 1 ou 2 milhões mensais. Sempre existirão riscos. O que não se pode admitir é o descaso com a segurança.
PROCESSO SEGURO DE DESENVOLVIMENTO DE SOFTWARE
Planejar Segurança
O propósito desta macro atividade é garantir que todas as informações necessárias para o planejamento da segurança do projeto sejam estabelecidas e registradas no processo seguro para o projeto. São verificados metas e planos de segurança da organização e definidos os objetivos do processo seguro para o projeto. É atribuição de esse macro atividade formalizar o grupo de engenharia de segurança, suas atribuições e como será sua estrutura.
Possui as seguintes atividades:
• Definir objetivos de planejamento de segurança e identificar seus mecanismos;
• Atribuir responsabilidades de segurança no projeto;
• Implementar ambientes de processamento;
• Planejar o gerenciamento de incidentes de segurança.
Avaliar Vulnerabilidade de Segurança
O propósito desta macro atividade é identificar e caracterizar, em cada iteração, as vulnerabilidades de segurança do sistema em relação ao ambiente definido, segundo o processo seguro através dos objetivos de segurança elencados para o projeto. Os ativos de informação do sistema a ser desenvolvido são essenciais, sendo selecionados os mais críticos para o desempenho do negócio. Possui as seguintes atividades:
• Executar métodos de identificação de vulnerabilidade de segurança;
• Analisar as vulnerabilidades de segurança identificadas.
Modelar Ameaça de Segurança
O propósito desta macro atividade é identificar e caracterizar ameaças de segurança, juntamente com suas propriedades e características. A partir da lista de vulnerabilidades, que é o principal produto resultante da macroatividade anterior, avaliam-se todas as ameaças levantadas, para que o engenheiro de segurança compreenda as ameaças relacionadas às vulnerabilidades identificadas, isto é, ameaças potenciais que podem aparecer ao colocar o produto em funcionamento. Possui as seguintes atividades:
• Identificar as ameaças de segurança aos ativos críticos;
• Classificar as ameaças de segurança aos ativos;
• Desenvolver estratégias de redução das ameaças de segurança.
Avaliar Risco de Segurança
O propósito desta macro atividade é, de posse das informações de vulnerabilidade, ameaça e impacto da iteração, avaliar os riscos inerentes do protótipo do sistema em desenvolvimento pela identificação da exposição de segurança, o risco dessa exposição, e a priorização desses riscos. Foca no descobrimento dos riscos de segurança envolvido com o sistema em um ambiente definido baseado em um entendimento estabelecido de como os ativos é vulneráveis às ameaças. Possui as seguintes atividades:
• Identificar exposição de segurança;
• Avaliar risco de exposição de segurança;
• Priorizar riscos de segurança.
Especificar Necessidades de Segurança
O propósito desta macro atividade é especificar as necessidades relacionadas com segurança para o protótipo do sistema, na iteração, entre todos os envolvidos, principalmente o usuário. Envolve definir as bases para segurança no sistema de modo a satisfazer todos os requisitos legais e organizacionais para segurança. Essas necessidades se baseiam no contexto de segurança operacional do sistema, no atual ambiente de segurança e sistema da
...