SlideShare ist ein Scribd-Unternehmen logo

Segurança de Software - Um olhar para além das linhas de código!

Leivan Carvalho
Leivan Carvalho

O documento discute as práticas de segurança no desenvolvimento de software, incluindo técnicas de codificação segura, gestão de usuários, autenticação e autorização. Também aborda como as vulnerabilidades em software são alvos preferenciais de hackers e como as tarefas de segurança são frequentemente negligenciadas, colocando corporações em risco. O documento propõe um ciclo de vida de desenvolvimento de software seguro e práticas para equipes de desenvolvimento e responsáveis por aquisições.

1 von 21
Segurança de Software Um olhar para além das linhas de código! Por: Leivan de Carvalho
Partimos para uma Odisseia…
no mundo da Segurança em TI…
Dentro de uma Equipa de Desenvolvimento de Software!
Práticas de segurança
Serão somente essas tarefas?! Técnicas de Codificação segura Gestão de Utilizadores Autenticação Autorização Logging
Em busca de respostas!...
Alvos preferenciais dos malfeitores!
Elevado número de vulnerabilidades em softwares!
Vulnerabilidades até em Sistemas de Controlo Industriais!
Porque as tarefas de Segurança são negligenciadas!!!
Causando danos letais às Corporações! Quebras financeiras Credibilidade manchada Completo desaparecimento
Despertada a atenção de Entidades Privadas e Governamentais!
O nível de confiança de que o software está livre de vulnerabilidades, quer sejam intencionais ou acidentalmente inseridas em qualquer momento durante seu ciclo de vida; e de que o software funciona da maneira pretendida.
Ciclo de Vida de Desenvolvimento de Software Seguro Ciclo de Vida de Desenvolvimento de Software
Gestão Estratégias e Métricas Políticas e compliance Educação e Treinamento Requisitos Classificação dos dados Requisitos de Segurança Design Processos de design Arquitectura Segura Tecnologias Implementação Vulnerabilidades Técnicas de codificação segura Ambiente de desenvolvime nto Revisão de código … Testes Artefactos de teste Teste de Segurança e Qualidade Verificação de impactos Aceitação Pré-release e pré- implantação Pos-release Implantação Instalação e implantação Operação e Manutenção Cessão Práticas para uma Equipa de Desenvolvimento
Avaliação de Risco Avaliação de risco Para reuso de código Propriedade Intelectual Obrigações Legais Pré-qualificação Terceirização Controlos de integridade contratual Controlos de integridade técnica Serviços geridos SLA Desenvolvimento e Testes Controlos técnicos Verificação de código e testes Controlos de testes de segurança Verificação e validação dos requisitos de software Entrega, Operação e Manutenção Cadeia de custódia Controlos de publicação e disseminação Integração de sistemas Controlos de implantação e sustentabilidade do produto Gestão, tracking e resolução de vulnerabilidades Transição Práticas para responsáveis pela Aquisição/Compra
Touchpoints Frameworks, ajudando no alcance da meta.
Avaliação contínua dos softwares • Desenvolver software seguro ou exigi-lo dos seus fornecedores não deve ser considerado perca de tempo Treinamento e educação • Avaliar o seu conhecimento sobre os fundamentos de segurança em software • Frequentar sessões de treinamento Requerer provas da segurança nos softwares • Fornecedores • Contratos
Muito Obrigado! Eng. Leivan de Carvalho (OCA) Em Blog: www.leivancarvalho.me

Empfohlen

APT - O inimigo entre nós!
APT - O inimigo entre nós!APT - O inimigo entre nós!
APT - O inimigo entre nós!
Leivan Carvalho
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
Marcio Cunha
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
GUTS-RS
 
Desenvolvimento Seguro
Desenvolvimento SeguroDesenvolvimento Seguro
Desenvolvimento Seguro
André Luís Cardoso
 
Os maiores riscos de segurança
Os maiores riscos de segurançaOs maiores riscos de segurança
Os maiores riscos de segurança
Yuri Dantas
 
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOUPREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
ibliss-seguranca
 
Palestra de Alexandro Silva - Alexos na Latinoware
Palestra de Alexandro Silva - Alexos na LatinowarePalestra de Alexandro Silva - Alexos na Latinoware
Palestra de Alexandro Silva - Alexos na Latinoware
iBLISS Segurança & Inteligência
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Brasil
 

Empfohlen

APT - O inimigo entre nós!
APT - O inimigo entre nós!APT - O inimigo entre nós!
APT - O inimigo entre nós!
Leivan Carvalho
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
Marcio Cunha
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
GUTS-RS
 
Desenvolvimento Seguro
Desenvolvimento SeguroDesenvolvimento Seguro
Desenvolvimento Seguro
André Luís Cardoso
 
Os maiores riscos de segurança
Os maiores riscos de segurançaOs maiores riscos de segurança
Os maiores riscos de segurança
Yuri Dantas
 
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOUPREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
ibliss-seguranca
 
Palestra de Alexandro Silva - Alexos na Latinoware
Palestra de Alexandro Silva - Alexos na LatinowarePalestra de Alexandro Silva - Alexos na Latinoware
Palestra de Alexandro Silva - Alexos na Latinoware
iBLISS Segurança & Inteligência
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Brasil
 
Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015
Cisco do Brasil
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Symantec Brasil
 
Soluções de segurança Cibernética
Soluções de segurança CibernéticaSoluções de segurança Cibernética
Soluções de segurança Cibernética
Cisco do Brasil
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
Guilherme Neves
 
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
Bruno Dantas
 
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilDevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
Bruno Dantas
 
Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)
wellagapto
 
Segurança de código
Segurança de códigoSegurança de código
Segurança de código
Wanderlei Silva do Carmo
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
Leandro Bennaton
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Leandro Bennaton
 
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de br...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de br...VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de br...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de br...
FecomercioSP
 
Dss 3
Dss 3Dss 3
Dss 3
Jean Carlos da Silva
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
Alcyon Ferreira de Souza Junior, MSc
 
A Abordagem Symantec para Derrotar Ameaças Avançadas
A Abordagem Symantec para Derrotar Ameaças AvançadasA Abordagem Symantec para Derrotar Ameaças Avançadas
A Abordagem Symantec para Derrotar Ameaças Avançadas
Symantec Brasil
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis Segurança da Informação
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
tdc-globalcode
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
Carlos Serrao
 
Risas que matan
Risas que matanRisas que matan
Risas que matan
alvaro escalante
 
Målgruppekriterier
MålgruppekriterierMålgruppekriterier
Målgruppekriterier
NDLA
 
Retos del Sistema de Información Sanitario en el seguimiento de la Estrategia
Retos del Sistema de Información Sanitario en el seguimiento de la EstrategiaRetos del Sistema de Información Sanitario en el seguimiento de la Estrategia
Retos del Sistema de Información Sanitario en el seguimiento de la Estrategia
Plan de Calidad para el SNS
 
33.1.014 Fortune Global Oil Company Case Study
33.1.014 Fortune Global Oil Company Case Study33.1.014 Fortune Global Oil Company Case Study
33.1.014 Fortune Global Oil Company Case Study
Clark Cledwyn Bagaipo
 
Como reavivar a igreja cap 02
Como reavivar a igreja cap 02Como reavivar a igreja cap 02
Como reavivar a igreja cap 02
Miguel Angelo Rodrigues
 

Weitere ähnliche Inhalte

Was ist angesagt?

Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)
wellagapto
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
Leandro Bennaton
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Leandro Bennaton
 
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de br...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de br...VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de br...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de br...
FecomercioSP
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis Segurança da Informação
 

Was ist angesagt? (17)

Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015
 
Soluções de segurança Cibernética
Soluções de segurança CibernéticaSoluções de segurança Cibernética
Soluções de segurança Cibernética
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
 
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilDevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
 
Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)
 
Segurança de código
Segurança de códigoSegurança de código
Segurança de código
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
 
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de br...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de br...VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de br...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de br...
 
Dss 3
Dss 3Dss 3
Dss 3
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
 
A Abordagem Symantec para Derrotar Ameaças Avançadas
A Abordagem Symantec para Derrotar Ameaças AvançadasA Abordagem Symantec para Derrotar Ameaças Avançadas
A Abordagem Symantec para Derrotar Ameaças Avançadas
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 

Andere mochten auch

33.1.014 Fortune Global Oil Company Case Study
33.1.014 Fortune Global Oil Company Case Study33.1.014 Fortune Global Oil Company Case Study
33.1.014 Fortune Global Oil Company Case Study
Clark Cledwyn Bagaipo
 

Andere mochten auch (13)

Risas que matan
Risas que matanRisas que matan
Risas que matan
 
Målgruppekriterier
MålgruppekriterierMålgruppekriterier
Målgruppekriterier
 
Retos del Sistema de Información Sanitario en el seguimiento de la Estrategia
Retos del Sistema de Información Sanitario en el seguimiento de la EstrategiaRetos del Sistema de Información Sanitario en el seguimiento de la Estrategia
Retos del Sistema de Información Sanitario en el seguimiento de la Estrategia
 
33.1.014 Fortune Global Oil Company Case Study
33.1.014 Fortune Global Oil Company Case Study33.1.014 Fortune Global Oil Company Case Study
33.1.014 Fortune Global Oil Company Case Study
 
Como reavivar a igreja cap 02
Como reavivar a igreja cap 02Como reavivar a igreja cap 02
Como reavivar a igreja cap 02
 
Foredrag kampanje byåsen vgs 14.09.15
Foredrag kampanje byåsen vgs 14.09.15Foredrag kampanje byåsen vgs 14.09.15
Foredrag kampanje byåsen vgs 14.09.15
 
Kjønnsroller og samliv presentasjon bm 0
Kjønnsroller og samliv presentasjon bm 0Kjønnsroller og samliv presentasjon bm 0
Kjønnsroller og samliv presentasjon bm 0
 
Arbeid og arbeidsmiljø presentasjon bm
Arbeid og arbeidsmiljø presentasjon bmArbeid og arbeidsmiljø presentasjon bm
Arbeid og arbeidsmiljø presentasjon bm
 
Forbruk og personlig økonomi presentasjon bm
Forbruk og personlig økonomi presentasjon bmForbruk og personlig økonomi presentasjon bm
Forbruk og personlig økonomi presentasjon bm
 
Makt presentasjon bm
Makt presentasjon bmMakt presentasjon bm
Makt presentasjon bm
 
Ação Jovem 4trimestre 2015
Ação Jovem 4trimestre 2015Ação Jovem 4trimestre 2015
Ação Jovem 4trimestre 2015
 
Smart city trends: Tendencias en las ciudades inteligentes y oportunidades pa...
Smart city trends: Tendencias en las ciudades inteligentes y oportunidades pa...Smart city trends: Tendencias en las ciudades inteligentes y oportunidades pa...
Smart city trends: Tendencias en las ciudades inteligentes y oportunidades pa...
 
Tendências de consumo 2016
Tendências de consumo 2016Tendências de consumo 2016
Tendências de consumo 2016
 

Ähnlich wie Segurança de Software - Um olhar para além das linhas de código!

Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Eduardo Lanna
 

Ähnlich wie Segurança de Software - Um olhar para além das linhas de código! (20)

Aula11.pdf
Aula11.pdfAula11.pdf
Aula11.pdf
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas Profissionais
 
Segurança na Impressão Digital
Segurança na Impressão DigitalSegurança na Impressão Digital
Segurança na Impressão Digital
 
Segurança na Cadeia de Fornecimento de Software
Segurança na Cadeia de Fornecimento de SoftwareSegurança na Cadeia de Fornecimento de Software
Segurança na Cadeia de Fornecimento de Software
 
Aula 32 - Internet
Aula 32 - InternetAula 32 - Internet
Aula 32 - Internet
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidades
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentation
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
MTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento SeguroMTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento Seguro
 
DevSecOps - Workshop do Bem
DevSecOps - Workshop do BemDevSecOps - Workshop do Bem
DevSecOps - Workshop do Bem
 
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADAApresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Como ser um Hacker Ético Profissional
Como ser um Hacker Ético ProfissionalComo ser um Hacker Ético Profissional
Como ser um Hacker Ético Profissional
 
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018
 

Segurança de Software - Um olhar para além das linhas de código!

  • 1. Segurança de Software Um olhar para além das linhas de código! Por: Leivan de Carvalho
  • 2. Partimos para uma Odisseia…
  • 3. no mundo da Segurança em TI…
  • 4. Dentro de uma Equipa de Desenvolvimento de Software!
  • 6. Serão somente essas tarefas?! Técnicas de Codificação segura Gestão de Utilizadores Autenticação Autorização Logging
  • 7. Em busca de respostas!...
  • 8. Alvos preferenciais dos malfeitores!
  • 9. Elevado número de vulnerabilidades em softwares!
  • 10. Vulnerabilidades até em Sistemas de Controlo Industriais!
  • 11. Porque as tarefas de Segurança são negligenciadas!!!
  • 12. Causando danos letais às Corporações! Quebras financeiras Credibilidade manchada Completo desaparecimento
  • 13. Despertada a atenção de Entidades Privadas e Governamentais!
  • 14.
  • 15. O nível de confiança de que o software está livre de vulnerabilidades, quer sejam intencionais ou acidentalmente inseridas em qualquer momento durante seu ciclo de vida; e de que o software funciona da maneira pretendida.
  • 16. Ciclo de Vida de Desenvolvimento de Software Seguro Ciclo de Vida de Desenvolvimento de Software
  • 17. Gestão Estratégias e Métricas Políticas e compliance Educação e Treinamento Requisitos Classificação dos dados Requisitos de Segurança Design Processos de design Arquitectura Segura Tecnologias Implementação Vulnerabilidades Técnicas de codificação segura Ambiente de desenvolvime nto Revisão de código … Testes Artefactos de teste Teste de Segurança e Qualidade Verificação de impactos Aceitação Pré-release e pré- implantação Pos-release Implantação Instalação e implantação Operação e Manutenção Cessão Práticas para uma Equipa de Desenvolvimento
  • 18. Avaliação de Risco Avaliação de risco Para reuso de código Propriedade Intelectual Obrigações Legais Pré-qualificação Terceirização Controlos de integridade contratual Controlos de integridade técnica Serviços geridos SLA Desenvolvimento e Testes Controlos técnicos Verificação de código e testes Controlos de testes de segurança Verificação e validação dos requisitos de software Entrega, Operação e Manutenção Cadeia de custódia Controlos de publicação e disseminação Integração de sistemas Controlos de implantação e sustentabilidade do produto Gestão, tracking e resolução de vulnerabilidades Transição Práticas para responsáveis pela Aquisição/Compra
  • 20. Avaliação contínua dos softwares • Desenvolver software seguro ou exigi-lo dos seus fornecedores não deve ser considerado perca de tempo Treinamento e educação • Avaliar o seu conhecimento sobre os fundamentos de segurança em software • Frequentar sessões de treinamento Requerer provas da segurança nos softwares • Fornecedores • Contratos
  • 21. Muito Obrigado! Eng. Leivan de Carvalho (OCA) Em Blog: www.leivancarvalho.me