SlideShare ist ein Scribd-Unternehmen logo

Implementando Segurança em desenvolvimento com a verdadeira ISO

Conviso Application Security
Conviso Application Security

Apresentação realizada na Sétima Edição do SegInfo no Rio de Janeiro - Brasil.

Technologie
1 von 27
Implementando Segurança em desenvolvimento com a verdadeira ISO 31 de Agosto de 2012 - Rio de Janeiro Monday, September 3, 2012
Esta é a ISO para Segurança em Desenvolvimento que você conhece? Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Por que não é a adequada? Foco em controles, no estado de segurança da aplicação, mas não apresenta nenhuma abordagem para o processo de desenvolvimento de software Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
O que é um Software Security Assurance (SSA) Processo que implementa práticas que irão aumentar o nível de segurança dos softwares desenvolvidos Práticas Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Práticas de um Software Security Assurance (SSA) - Governança Práticas que ajudam a organizar, gerenciar e medir a iniciativa em segurança de software. Desenvolvimento da equipe é uma prática central de governança Governança Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Práticas de um Software Security Assurance (SSA) - Construção Práticas que resultam numa coleção de conhecimento corporativo usado para realizar as atividades de segurança de software pela organização Construção Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Práticas de um Software Security Assurance (SSA) - Verificação Atividades de análise e testes de segurança de software que irão validar se a aplicação atende os requisitos de segurança estabelecidos Verificação Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Práticas de um Software Security Assurance (SSA) - Implementação Práticas que integram o processo de desenvolvimento e áreas de segurança de rede e manutenção de software Implementação Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Papéis e Responsabilidades de um Software Security Assurance (SSA) Papéis Responsabilidades Responsável pela operação do Processo Gestores de Segurança em Desenvolvimento de Software Entender os Requisitos de Segurança e Desenvolvedores implementar os controles Verificar se os controles atendem os perfis Auditores de riscos aceitáveis pela organização Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
O que é uma ISO Desenvolvida por vários comitês espalhados pelo mundo. Busca atender as expectativas de todas as partes: ‣ Gerentes ‣ Times de Operações e Projetos ‣ Auditores ‣ Usuários Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Sistema de Gestão para Segurança de Aplicações com a ISO/IEC 27034:2011 ‣Padrão separado em 6 partes para organizações integrarem segurança em desenvolvimento de aplicações ‣Define que segurança de aplicações não é um estado mas sim um processo que busca endereçar controles de segurança a todas as fases do desenvolvimento Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Um pouco sobre a Parte 1 lançada em Novembro de 2011 ‣Apresenta princípios, conceitos e processos envolvidos em segurança de aplicações ‣Desenvolvida para ser adotada junto com outros padrões da Série 27000 Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Um pouco sobre a Parte 1 lançada em Novembro de 2011 Atende a todas perspectivas de quem consome software: ‣ Desenvolvimento in-house ‣ Outsource de Desenvolvimento ‣ Quem Adquire Software de Terceiros Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Princípios de Segurança de Aplicações segundo a ISO ‣ Segurança é um Requisito ‣Que deve ser analisado e definido para cada cenário ‣ Depende do Contexto ‣Qual a infraestrura envolvida? Quais padrões e requisitos deve atender? Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Princípios de Segurança de Aplicações segundo a ISO ‣ Investimento Apropriado ‣Você deve investir em segurança de acordo com o perfil de risco necessário ‣ Apresentar os Benefícios da Adoção ‣Evidências do processo devem ser geradas e apresentadas Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Conceitos ‣ Application Target Level of Trust (LoT): Nível de Risco Aceitável para cada aplicação ‣ Application Security Control (ASC): Controles implementados para manter a aplicação dentro dos níveis aceitáveis pela organização Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Application Security Management Process (ASMP) LoT Normativos e Orientação LoT = Application Desejado Prescritiva de Suporte Target Level of Trust Analisar os Riscos da Operação da Aplicação Aplicação Identificar os Requisitos da Aplicação e Ambiente Verificar a Seguranção da Aplicação LoT ✓ Atingido Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
O que vem por aí ‣Part 2: Organization normative framework ‣Part 3: Application security management process ‣Part 4: Application security validation ‣Part 5: Protocols and application security controls datastructure ‣Part 6: Security guidance for specific applications (if needed) Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Part 2: Organization normative framework Descreve como implementar o Application Security Management Process (ASMP) Draft Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Part 3: Application security management process Descreve a inter-dependencia e as características de um processo de segurança em desenvolvimento Em proposição Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Part 4: Application security validation Irá apresentar um framework para avaliação e certificação do processo de segurança em desenvolvimento de software Em proposição Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Part 5: Protocols and application security controls datastructure Irá definir um padrão estruturado (XML) para os Application Security Control (ASC) Em proposição Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Part 6: Security guidance for specific applications (if needed) Irá apresentar Controles de Segurança para Requisitos específicos de acordo com o modelo de aplicação Draft Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
A ISO e o OpenSAMM para avaliar o nível de maturidade Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Agora você já sabe qual é a ISO certa Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
Obrigado welias@conviso.com.br @welias Monday, September 3, 2012
Referências ‣ ISO: http://www.iso.org ‣ OpenSAMM: http://www.opensamm.org ‣ BSIMM: http://bsimm.com Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012

Empfohlen

Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de sw
Junior Gomes
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Bruno Motta Rego
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de Software
Conviso Application Security
 
Dss 3
Dss 3Dss 3
Dss 3
Jean Carlos da Silva
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
TI Safe
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
Conviso Application Security
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Cisco do Brasil
 

Empfohlen

Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de sw
Junior Gomes
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Bruno Motta Rego
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de Software
Conviso Application Security
 
Dss 3
Dss 3Dss 3
Dss 3
Jean Carlos da Silva
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
TI Safe
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
Conviso Application Security
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Cisco do Brasil
 
ERP no Varejo
ERP no VarejoERP no Varejo
ERP no Varejo
EAC Software
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
tdc-globalcode
 
Comparativo Geral Seguraça Kaspersky x Concorrência
Comparativo Geral Seguraça Kaspersky x ConcorrênciaComparativo Geral Seguraça Kaspersky x Concorrência
Comparativo Geral Seguraça Kaspersky x Concorrência
Central Info
 
Final Paper_NMRSEG
Final Paper_NMRSEGFinal Paper_NMRSEG
Final Paper_NMRSEG
Evandro Costa
 
Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Rafael Burity
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de Software
Marcelo Fleury
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
Eduardo Lanna
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
Carlos Henrique Martins da Silva
 
Palestra
PalestraPalestra
Palestra
guest95b6c3
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
Data Security
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewCurso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - Overview
Data Security
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Eduardo Lanna
 
QualysGuard Policy Manager
QualysGuard Policy ManagerQualysGuard Policy Manager
QualysGuard Policy Manager
Site Blindado S.A.
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura
Eduardo Lanna
 
Uniinfo2010 introdução teste de software - priscila coelho blauth2
Uniinfo2010 introdução teste de software - priscila coelho blauth2Uniinfo2010 introdução teste de software - priscila coelho blauth2
Uniinfo2010 introdução teste de software - priscila coelho blauth2
Priscila Coelho S. Blauth
 
CLASS 2018 - Palestra de Paulo Roberto Antunes de Souza Jr. (Gerente de Engen...
CLASS 2018 - Palestra de Paulo Roberto Antunes de Souza Jr. (Gerente de Engen...CLASS 2018 - Palestra de Paulo Roberto Antunes de Souza Jr. (Gerente de Engen...
CLASS 2018 - Palestra de Paulo Roberto Antunes de Souza Jr. (Gerente de Engen...
TI Safe
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
Juliano Padilha
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
GUTS-RS
 
Premiações eset 2012
Premiações eset 2012Premiações eset 2012
Premiações eset 2012
ESET Brasil
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
Erick Belluci Tedeschi
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
Conviso Application Security
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP Brasília
 

Weitere ähnliche Inhalte

Was ist angesagt?

Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Rafael Burity
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Eduardo Lanna
 
Uniinfo2010 introdução teste de software - priscila coelho blauth2
Uniinfo2010 introdução teste de software - priscila coelho blauth2Uniinfo2010 introdução teste de software - priscila coelho blauth2
Uniinfo2010 introdução teste de software - priscila coelho blauth2
Priscila Coelho S. Blauth
 

Was ist angesagt? (19)

ERP no Varejo
ERP no VarejoERP no Varejo
ERP no Varejo
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
 
Comparativo Geral Seguraça Kaspersky x Concorrência
Comparativo Geral Seguraça Kaspersky x ConcorrênciaComparativo Geral Seguraça Kaspersky x Concorrência
Comparativo Geral Seguraça Kaspersky x Concorrência
 
Final Paper_NMRSEG
Final Paper_NMRSEGFinal Paper_NMRSEG
Final Paper_NMRSEG
 
Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de Software
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
 
Palestra
PalestraPalestra
Palestra
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewCurso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - Overview
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
QualysGuard Policy Manager
QualysGuard Policy ManagerQualysGuard Policy Manager
QualysGuard Policy Manager
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura
 
Uniinfo2010 introdução teste de software - priscila coelho blauth2
Uniinfo2010 introdução teste de software - priscila coelho blauth2Uniinfo2010 introdução teste de software - priscila coelho blauth2
Uniinfo2010 introdução teste de software - priscila coelho blauth2
 
CLASS 2018 - Palestra de Paulo Roberto Antunes de Souza Jr. (Gerente de Engen...
CLASS 2018 - Palestra de Paulo Roberto Antunes de Souza Jr. (Gerente de Engen...CLASS 2018 - Palestra de Paulo Roberto Antunes de Souza Jr. (Gerente de Engen...
CLASS 2018 - Palestra de Paulo Roberto Antunes de Souza Jr. (Gerente de Engen...
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 
Premiações eset 2012
Premiações eset 2012Premiações eset 2012
Premiações eset 2012
 

Andere mochten auch

Treinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaTreinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurança
Leivan Carvalho
 
comparateur loi-madelin07
comparateur loi-madelin07comparateur loi-madelin07
comparateur loi-madelin07
4copybridge
 
Manual do pedal Mooer MFL1 Eleclady (PORTUGUÊS)
Manual do pedal Mooer MFL1 Eleclady (PORTUGUÊS)Manual do pedal Mooer MFL1 Eleclady (PORTUGUÊS)
Manual do pedal Mooer MFL1 Eleclady (PORTUGUÊS)
Habro Group
 
Vortrag Unifinanz, Berlin, 14. September 2012
Vortrag Unifinanz, Berlin, 14. September 2012Vortrag Unifinanz, Berlin, 14. September 2012
Vortrag Unifinanz, Berlin, 14. September 2012
Michael Golsch
 
Conversa com alunos da computação da UFPel (Abril 2015)
Conversa com alunos da computação da UFPel (Abril 2015)Conversa com alunos da computação da UFPel (Abril 2015)
Conversa com alunos da computação da UFPel (Abril 2015)
Luiz Nörnberg
 

Andere mochten auch (20)

PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHA
 
Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
 
Elicitação e Análise
Elicitação e AnáliseElicitação e Análise
Elicitação e Análise
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento Seguro
 
Segurança de software na Administração Pública Federal
Segurança de software na Administração Pública FederalSegurança de software na Administração Pública Federal
Segurança de software na Administração Pública Federal
 
Treinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaTreinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurança
 
Resumo de Técnicas de elicitação de requisitos
Resumo de Técnicas de elicitação de requisitosResumo de Técnicas de elicitação de requisitos
Resumo de Técnicas de elicitação de requisitos
 
ALFA TRALL Quality Assurance
ALFA TRALL Quality Assurance ALFA TRALL Quality Assurance
ALFA TRALL Quality Assurance
 
comparateur loi-madelin07
comparateur loi-madelin07comparateur loi-madelin07
comparateur loi-madelin07
 
Coup d’oeil sur l’assurance maladie en Afrique
Coup d’oeil sur l’assurance maladie en AfriqueCoup d’oeil sur l’assurance maladie en Afrique
Coup d’oeil sur l’assurance maladie en Afrique
 
Manual do pedal Mooer MFL1 Eleclady (PORTUGUÊS)
Manual do pedal Mooer MFL1 Eleclady (PORTUGUÊS)Manual do pedal Mooer MFL1 Eleclady (PORTUGUÊS)
Manual do pedal Mooer MFL1 Eleclady (PORTUGUÊS)
 
Mapa mental PPQA- Process and Product Quality Assurance
Mapa mental PPQA- Process and Product Quality AssuranceMapa mental PPQA- Process and Product Quality Assurance
Mapa mental PPQA- Process and Product Quality Assurance
 
Vortrag Unifinanz, Berlin, 14. September 2012
Vortrag Unifinanz, Berlin, 14. September 2012Vortrag Unifinanz, Berlin, 14. September 2012
Vortrag Unifinanz, Berlin, 14. September 2012
 
Web 3.0: Semantisches Web, OpenData & Co in der (politischen) Bildung
Web 3.0: Semantisches Web, OpenData & Co in der (politischen) BildungWeb 3.0: Semantisches Web, OpenData & Co in der (politischen) Bildung
Web 3.0: Semantisches Web, OpenData & Co in der (politischen) Bildung
 
Presentation selphie
Presentation selphiePresentation selphie
Presentation selphie
 
Conversa com alunos da computação da UFPel (Abril 2015)
Conversa com alunos da computação da UFPel (Abril 2015)Conversa com alunos da computação da UFPel (Abril 2015)
Conversa com alunos da computação da UFPel (Abril 2015)
 
Manual do Usuario Tyt th f8 VHF
Manual do Usuario Tyt th f8 VHFManual do Usuario Tyt th f8 VHF
Manual do Usuario Tyt th f8 VHF
 

Ähnlich wie Implementando Segurança em desenvolvimento com a verdadeira ISO

Ähnlich wie Implementando Segurança em desenvolvimento com a verdadeira ISO (20)

QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
 
PCI DSS e Metodologias Ágeis
PCI DSS e Metodologias ÁgeisPCI DSS e Metodologias Ágeis
PCI DSS e Metodologias Ágeis
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
DevSecOps - Workshop do Bem
DevSecOps - Workshop do BemDevSecOps - Workshop do Bem
DevSecOps - Workshop do Bem
 
Resumo capítulo 1 livro Engenharia de Software Moderna
Resumo capítulo 1 livro Engenharia de Software ModernaResumo capítulo 1 livro Engenharia de Software Moderna
Resumo capítulo 1 livro Engenharia de Software Moderna
 
Verificação, Validação e Teste de Software
Verificação, Validação e Teste de SoftwareVerificação, Validação e Teste de Software
Verificação, Validação e Teste de Software
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 
Engenharia de software
Engenharia de softwareEngenharia de software
Engenharia de software
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web
 
Aula11.pdf
Aula11.pdfAula11.pdf
Aula11.pdf
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
MTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento SeguroMTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento Seguro
 
IT2S Group
IT2S GroupIT2S Group
IT2S Group
 
11SMTF050922T03
11SMTF050922T0311SMTF050922T03
11SMTF050922T03
 

Mehr von Conviso Application Security

Building Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesBuilding Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 Features
Conviso Application Security
 

Mehr von Conviso Application Security (20)

Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de software
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking
 
Building Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesBuilding Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 Features
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações Web
 
Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?
 
Pentest em Aplicações Móveis
Pentest em Aplicações MóveisPentest em Aplicações Móveis
Pentest em Aplicações Móveis
 
HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?
 
Threats from economical improvement rss 2010
Threats from economical improvement rss 2010Threats from economical improvement rss 2010
Threats from economical improvement rss 2010
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flash
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
 
Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
 
Abotoaduras & Bonés
Abotoaduras & BonésAbotoaduras & Bonés
Abotoaduras & Bonés
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
 
Extreme Web Hacking - h2hc 2008
Extreme Web Hacking - h2hc 2008Extreme Web Hacking - h2hc 2008
Extreme Web Hacking - h2hc 2008
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 

Kürzlich hochgeladen

Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdf
Natalia Granato
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
2m Assessoria
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
2m Assessoria
 

Kürzlich hochgeladen (6)

Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdf
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 

Implementando Segurança em desenvolvimento com a verdadeira ISO

  • 1. Implementando Segurança em desenvolvimento com a verdadeira ISO 31 de Agosto de 2012 - Rio de Janeiro Monday, September 3, 2012
  • 2. Esta é a ISO para Segurança em Desenvolvimento que você conhece? Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 3. Por que não é a adequada? Foco em controles, no estado de segurança da aplicação, mas não apresenta nenhuma abordagem para o processo de desenvolvimento de software Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 4. O que é um Software Security Assurance (SSA) Processo que implementa práticas que irão aumentar o nível de segurança dos softwares desenvolvidos Práticas Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 5. Práticas de um Software Security Assurance (SSA) - Governança Práticas que ajudam a organizar, gerenciar e medir a iniciativa em segurança de software. Desenvolvimento da equipe é uma prática central de governança Governança Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 6. Práticas de um Software Security Assurance (SSA) - Construção Práticas que resultam numa coleção de conhecimento corporativo usado para realizar as atividades de segurança de software pela organização Construção Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 7. Práticas de um Software Security Assurance (SSA) - Verificação Atividades de análise e testes de segurança de software que irão validar se a aplicação atende os requisitos de segurança estabelecidos Verificação Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 8. Práticas de um Software Security Assurance (SSA) - Implementação Práticas que integram o processo de desenvolvimento e áreas de segurança de rede e manutenção de software Implementação Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 9. Papéis e Responsabilidades de um Software Security Assurance (SSA) Papéis Responsabilidades Responsável pela operação do Processo Gestores de Segurança em Desenvolvimento de Software Entender os Requisitos de Segurança e Desenvolvedores implementar os controles Verificar se os controles atendem os perfis Auditores de riscos aceitáveis pela organização Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 10. O que é uma ISO Desenvolvida por vários comitês espalhados pelo mundo. Busca atender as expectativas de todas as partes: ‣ Gerentes ‣ Times de Operações e Projetos ‣ Auditores ‣ Usuários Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 11. Sistema de Gestão para Segurança de Aplicações com a ISO/IEC 27034:2011 ‣Padrão separado em 6 partes para organizações integrarem segurança em desenvolvimento de aplicações ‣Define que segurança de aplicações não é um estado mas sim um processo que busca endereçar controles de segurança a todas as fases do desenvolvimento Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 12. Um pouco sobre a Parte 1 lançada em Novembro de 2011 ‣Apresenta princípios, conceitos e processos envolvidos em segurança de aplicações ‣Desenvolvida para ser adotada junto com outros padrões da Série 27000 Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 13. Um pouco sobre a Parte 1 lançada em Novembro de 2011 Atende a todas perspectivas de quem consome software: ‣ Desenvolvimento in-house ‣ Outsource de Desenvolvimento ‣ Quem Adquire Software de Terceiros Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 14. Princípios de Segurança de Aplicações segundo a ISO ‣ Segurança é um Requisito ‣Que deve ser analisado e definido para cada cenário ‣ Depende do Contexto ‣Qual a infraestrura envolvida? Quais padrões e requisitos deve atender? Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 15. Princípios de Segurança de Aplicações segundo a ISO ‣ Investimento Apropriado ‣Você deve investir em segurança de acordo com o perfil de risco necessário ‣ Apresentar os Benefícios da Adoção ‣Evidências do processo devem ser geradas e apresentadas Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 16. Conceitos ‣ Application Target Level of Trust (LoT): Nível de Risco Aceitável para cada aplicação ‣ Application Security Control (ASC): Controles implementados para manter a aplicação dentro dos níveis aceitáveis pela organização Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 17. Application Security Management Process (ASMP) LoT Normativos e Orientação LoT = Application Desejado Prescritiva de Suporte Target Level of Trust Analisar os Riscos da Operação da Aplicação Aplicação Identificar os Requisitos da Aplicação e Ambiente Verificar a Seguranção da Aplicação LoT ✓ Atingido Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 18. O que vem por aí ‣Part 2: Organization normative framework ‣Part 3: Application security management process ‣Part 4: Application security validation ‣Part 5: Protocols and application security controls datastructure ‣Part 6: Security guidance for specific applications (if needed) Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 19. Part 2: Organization normative framework Descreve como implementar o Application Security Management Process (ASMP) Draft Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 20. Part 3: Application security management process Descreve a inter-dependencia e as características de um processo de segurança em desenvolvimento Em proposição Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 21. Part 4: Application security validation Irá apresentar um framework para avaliação e certificação do processo de segurança em desenvolvimento de software Em proposição Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 22. Part 5: Protocols and application security controls datastructure Irá definir um padrão estruturado (XML) para os Application Security Control (ASC) Em proposição Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 23. Part 6: Security guidance for specific applications (if needed) Irá apresentar Controles de Segurança para Requisitos específicos de acordo com o modelo de aplicação Draft Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 24. A ISO e o OpenSAMM para avaliar o nível de maturidade Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 25. Agora você já sabe qual é a ISO certa Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012
  • 26. Obrigado welias@conviso.com.br @welias Monday, September 3, 2012
  • 27. Referências ‣ ISO: http://www.iso.org ‣ OpenSAMM: http://www.opensamm.org ‣ BSIMM: http://bsimm.com Segurança em Desenvolvimento como Diferencial Competitivo Monday, September 3, 2012