Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações

Tamanho: px
Começar a partir da página:

Download "Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações"

Transcrição

1 Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações RENATO COSTA ALVES DE SOUSA Processo Seguro de Desenvolvimento de Software Uma abordagem para aumento da segurança das aplicações Web no Ministério Público Federal Brasília 2011

2 Renato Costa Alves de Sousa Processo Seguro de Desenvolvimento de Software Uma abordagem para aumento da segurança das aplicações Web no Ministério Público Federal Brasília 2011 Renato Costa Alves de Sousa

3 Processo Seguro de Desenvolvimento de Software Uma abordagem para aumento da segurança das aplicações Web no Ministério Público Federal Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a obtenção do título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e Comunicações. Orientador: Genaína Nunes Rodrigues Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Brasília

4 Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão da Segurança da Informação e Comunicações - CEGSIC 2009/ Renato Costa Alves de Sousa. Qualquer parte desta publicação pode ser reproduzida, desde que citada a fonte. de Sousa, Renato Costa Alves Processo Seguro de Desenvolvimento de Software: Uma abordagem para aumento da segurança das aplicações Web no Ministério Público Federal / Renato Costa Alves de Sousa. Brasília: O autor, p.; Ilustrado; 25 cm. Monografia (especialização) Universidade de Brasília. Instituto de Ciências Exatas. Departamento de Ciência da Computação, Inclui Bibliografia. 1. Processo de Desenvolvimento de Software. 2. Segurança 3. Aplicações Web. CDU

5 Errata 2 5

6 Ata de Defesa de Monografia Monografia de Especialização Lato Sensu, defendida sob o título Processo Seguro de Desenvolvimento de Software: Uma abordagem para aumento da segurança das aplicações Web no Ministério Público Federal, por Renato Costa Alves de Sousa, em 09 de dezembro de 2011, no Auditório do Departamento de Ciência da Computação da UnB, em Brasília - DF, e aprovada pela banca examinadora constituída por: Prof.ª Genaína Nunes Rodrigues Departamento de Ciência da Computação - Universidade de Brasília Orientador Prof. Rodrigo Bonifácio de Almeida Departamento de Ciência da Computação - Universidade de Brasília Prof.ª Maristela Terto de Holanda Departamento de Ciência da Computação - Universidade de Brasília Prof. Dr. Jorge Henrique Cabral Fernandes Coordenador do Curso de Especialização em Gestão da Segurança da Informação e Comunicações CEGSIC 2009/2011 6

7 Agradecimentos Agradeço a todos aqueles que cooperaram direta ou indiretamente na consecução do presente trabalho. 7

8 Quem chega cedo ao campo de batalha aguarda a chegada do inimigo e está pronto para combater. Quem chega tarde ao campo de batalha tem que apressar-se e já começa o combate com as forças exauridas. Sun Tzu, em A Arte da Guerra. 8

9 Lista de Tabelas Tabela 1 Vulnerabilidades investigadas...29 Tabela 2 Vulnerabilidades atendidas...47 Tabela 3 - Vulnerabilidades Parcialmente Atendidas...47 Tabela 4 - Vulnerabilidades não atendidas

10 Sumário Ata de Defesa de Monografia Delimitação do Problema Introdução Formulação da situação problema (Questões de pesquisa) Objetivos e escopo Objetivo Geral Objetivos Específicos Escopo Justificativa Hipóteses Revisão de Literatura e Fundamentos Estrutura do CLASP Visões do CLASP Casos de Uso de Vulnerabilidades Referenciais Conceituais Argumentos do Pesquisador Metodologia Resultados Causas básicas de vulnerabilidades que se aplicam ao desenvolvimento de software do sistema Único

11 4.1.1 Erros de tipo e intervalo Problemas de ambiente Erros de sincronização e temporização Erros de protocolo Erros gerais de lógica Resultado da pesquisa Discussão Possíveis consequências do não tratamento dos problemas Erros de tipo e intervalo Problemas de ambiente Erros de sincronização e temporização Erros de protocolo Erros gerais de lógica Discussões sobre os resultados Conclusão Referências e Fontes Consultadas

12 Resumo O presente trabalho tem como objetivo fazer uma análise dos problemas de segurança elencados pelo CLASP (Comprehensive, Lightweight Application Security Process) de forma a identificar quais destes problemas se aplicam à arquitetura do Sistema Único. Assim verificar, dentre os problemas selecionados, quais estão presentes ou não no processo de desenvolvimento, implantação e operação deste sistema. Dessa forma o trabalho irá abordar temas como os requisitos de um processo seguro para desenvolvimento de software, razões que ocasionam o desenvolvimento de um software inseguro, as principais práticas que contribuem para a segurança de uma aplicação, como mitigar as principais falhas de segurança introduzidas durante as várias fases do processo de desenvolvimento de software, entre outros aspectos do desenvolvimento de software, tendo como base o Sistema Único do Ministério Público Federal. 12

13 Abstract This study aims to analyze the security issues listed by the CLASP (Comprehensive, Lightweight Application Security Process) to identify which of these issues apply to the architecture of the System. Therefore check, among the selected problems, which are present or not in the process of development, deployment and operation of this system. The work will address issues such as the requirements of a secure process for software development, reasons that cause the development of an insecure software, the key practices that contribute to the security of an application, how to mitigate major security flaws introduced during the various phases of software development, among other aspects of software development, based on the Sistema Único of Ministério Público Federal. 13

14 1 Delimitação do Problema 1.1 Introdução Com a evolução dos sistemas de software não acompanhada por uma evolução do processo de desenvolvimento desses sistemas, os problemas de segurança envolvendo computadores e softwares são frequentes, generalizados e muitas vezes apresentam consequências sérias para as atividades as quais esses sistemas dão suporte. Nos últimos anos, houve uma facilidade do acesso à informação através de meios de comunicação como livros, televisão e internet. Essa facilitação potencializa um número de usuários mal intencionados, e potencializa também a capacidades destes. Isso faz com que as propriedades de segurança da informação que devem estar presentes em uma aplicação necessitem de uma maior atenção. Atenção esta que não deve se efetivar apenas durante a operação do sistema, mas sim durante todo o ciclo de vida do produto: desde a sua concepção até a sua entrada em produção e operação. Para isso é preciso que se estabeleça um processo de desenvolvimento de software que assegure a segurança do produto desde a sua concepção. A tarefa de implantar um processo de desenvolvimento padronizado em uma organização não é tarefa trivial. Envolve uma mudança de paradigma da equipe envolvida nos projetos. Envolve ainda outro fator mais crítico que é o comprometimento organizacional com a mudança, o que implica em investimento de recursos no processo, tanto recursos financeiros quanto recursos pessoais. Porém não basta definir um processo padrão, é preciso segui-lo em todos os produtos de software. Além do mais é preciso que esse modelo de processo seja eficiente, ou seja, que produza realmente os resultados esperados. Para se conseguir os resultados almejados com a implantação de um processo seguro de desenvolvimento de software há uma série de práticas, já testadas com sucesso no 14

15 mercado que podem auxiliar e incrementar a probabilidade de se desenvolver softwares seguros. Este trabalho faz um levantamento das principais causas de insegurança no processo de desenvolvimento de software no Ministério Público Federal (MPF), mais especificamente na Procuradoria Geral da República (PGR), sugere boas práticas a serem implementadas por um processo seguro de desenvolvimento de software, e apresenta metodologias para se garantir a qualificação do processo implementado. Para isso o contexto escolhido para a pesquisa foi o do sistema Único, que é um sistema em fase de desenvolvimento na PGR e que atenderá todo o MPF. O sistema Único é um sistema de gestão integrada de expedientes. Expediente pode ser entendido como uma categoria genérica de documentos que inclui: autos administrativos, autos judiciais, manifestações judiciais, documentos administrativos, entre outros tipos de documentos organizacionais. Quando totalmente implantado este sistema gerenciará toda a tramitação de expedientes do MPF, controlando a tramitação tanto de expedientes físicos como eletrônicos. O sistema Único é um sistema Web, desenvolvido em Java. Utiliza frameworks como Struts e Spring para a camada de controle e para prover injeção de dependências. Na camada de visão utiliza-se o framework ExtJS, que é um framework de JavaScript. E para a camada de persistência é utilizado o framework Hibernate em conjunto com o banco de dados Oracle. Como servidor de aplicação o ambiente utilizado é o provido pelo WebLogic, também da empresa Oracle. Portanto é um sistema que utiliza diversas ferramentas padrões de mercado em sua arquitetura. 1.2 Formulação da situação problema (Questões de pesquisa) Através das pesquisas nas diversas disciplinas do curso, bem como da observação direta e participativa do processo de desenvolvimento de software do Ministério Público da União (MPU), mais especificamente da Procuradoria Geral da República (PGR), órgão central do MPU, verificou-se a necessidade de um tratamento dos aspectos de segurança da informação durante o desenvolvimento 15

16 das aplicações neste órgão, aspectos estes que melhor serão atendidos se estiverem previstos no processo de desenvolvimento. Observou-se que os tratamentos de segurança empregados advêm de iniciativas unilaterais de cada desenvolvedor. Apesar dos esforços individuais, essa prática pode resultar em possíveis falhas de segurança que serão exploradas durante esse trabalho. 1.3 Objetivos e escopo O cenário observado na Procuradoria Geral da República não é diferente de outros órgãos da Administração Pública Federal: correria para cumprir prazos, muitas vezes determinados por questões políticas; não definição de um processo consistente para o desenvolvimento de software; não reconhecimento do setor de tecnologia da informação como estratégico para o alcance dos objetivos do MPU; bem como a visão de que a tecnologia da informação é apenas um mal necessário, entre outros fatores. Este cenário introduz uma série de dificuldades para o desenvolvimento de aplicações seguras. É fato que uma equipe desmotivada, e não reconhecida pela alta administração, mesmo que empenhada em seus afazeres, não será capaz de desenvolver de forma unilateral aplicações seguras. Para ajudar na concepção de um processo seguro de desenvolvimento de software é possível adotar algumas das melhores práticas sugeridas pelo CLASP (Comprehensive, Lightweight Application Security Processo). O CLASP é um modelo de processo de desenvolvimento de software seguro muito reconhecido, é especificado pelo Open Web Application Security Project (OWASP,2010. Em diversos casos concretos é possível associar o emprego das técnicas sugeridas por este modelo com o incremento da segurança das aplicações desenvolvidas sob estas práticas Objetivo Geral O objetivo desse trabalho é de analisar os aspectos de segurança da informação do processo de desenvolvimento de software no Ministério Público Federal, mais especificamente na Procuradoria Geral da República, que é a entidade central deste órgão e de todo o Ministério Público da União. 16

17 Assim esse trabalho tem como objetivo encontrar as vulnerabilidades presentes no Sistema Único. Demonstrar que é desejável o emprego das melhores técnicas de desenvolvimento de software seguro propostas pela OWASP no contexto do MPF. Dessa forma demonstrar que o emprego de técnicas e melhores práticas no processo de desenvolvimento de software no MPF pode trazer um ganho de segurança da informação nas aplicações desenvolvidas, bem como a redução de custos com retrabalho e eventuais falhas de segurança Objetivos Específicos São objetivos específicos desse estudo de caso: Selecionar os problemas de segurança previstos pelo CLASP que se aplicam ao caso do Sistema Único. Pesquisar as vulnerabilidades selecionadas, de acordo com o item anterior, que não são tratadas pelo Sistema Único. Apresentar as melhores práticas que podem ser aplicadas no processo de desenvolvimento de software no MPF Escopo O estudo de caso será aplicado na equipe de desenvolvimento de software da PGR. Mais especificamente será feito um estudo de caso baseado no desenvolvimento do Sistema Único, atualmente o sistema mais estratégico para o MPF. 1.4 Justificativa O desenvolvimento do Sistema Único é uma tarefa crítica e de extrema importância para a eficiência do Ministério Público Federal no cumprimento do seu dever perante a sociedade. Visto que é um sistema que integrará toda a tramitação dos processos deste órgão. Falhas de segurança neste sistema podem incorrer em situações constrangedoras para o órgão, bem como comprometer o seu funcionamento, além de poder enquadrar o órgão na ilegalidade. Dentre outras é possível citar as 17

18 seguintes situações que podem vir acontecer caso vulnerabilidades neste sistema venham a ser exploradas: Acesso por pessoas não autorizadas a um processo sigiloso; Vazamento de informações não autorizadas para a mídia; Instabilidade do sistema, comprometendo processos urgentes como Habeas corpus; Comprometimento das atividades dos servidores e membros do MPF; Exploração de vulnerabilidades do sistema usuários mal intencionadas e hackers. Esses e outros fatores podem comprometer o funcionamento da organização, além de denegrir sua imagem perante a sociedade. 18

19 1.5 Hipóteses Verificou-se, através de observação participativa, ou seja, a observação realizada através da participação do autor no processo de desenvolvimento de software, uma iniciativa de estabelecimento de um processo para desenvolvimento de softwares no MPF. Porém essa iniciativa partiu da própria equipe de desenvolvimento devido à insatisfação com a qualidade e com a forma como são conduzidas as atividades de desenvolvimento. Assim, o momento é oportuno para a abordagem, das melhores práticas de segurança no desenvolvimento do processo proposto ao final desse trabalho. Através da pesquisa realizada neste trabalho espera-se demonstrar: Não há um processo definido para o desenvolvimento de software no MPF; Não se emprega as melhores práticas de desenvolvimento seguro de software; Há o desconhecimento por parte da equipe de algumas vulnerabilidades que podem ser introduzidas durante a fase de desenvolvimento; O CLASP contempla as atividades que asseguram o desenvolvimento de software com segurança; A utilização da linguagem Java, devido ao seu nível de amadurecimento, auxilia na prevenção de diversas vulnerabilidades. 19

20 2 Revisão de Literatura e Fundamentos A segurança das aplicações não está ligada somente a técnicas de segurança da linguagem de programação. É preciso haver uma abordagem voltada para segurança durante todo o processo de desenvolvimento. Esta abordagem deve abranger aspectos intrínsecos à própria infraestrutura da aplicação, como servidores, linguagem de programação, segurança de rede, entre outros fatores. Porém deve abranger também os aspectos extrínsecos, como o processo de desenvolvimento, a qualificação da equipe no quesito de desenvolvimento com segurança, além da aplicação das melhores práticas de segurança no desenvolvimento de software. O Open Web Application Security Project (OWASP) explora as melhores práticas que podem ser aplicadas no desenvolvimento de software para garantir a segurança da informação. O Comprehensive, Lightweight Application Security Processo (CLASP), que numa tradução livre seria Processo Leve e Abrangente de Segurança de Aplicações, é um conjunto de componentes de processo orientados a atividade e baseados em papéis, cujo núcleo é composto por melhores práticas para agregar segurança no ciclo de vida de desenvolvimento de software, já em andamento ou em fase inicial, de forma estruturada, repetível e mensurável. 2.1 Estrutura do CLASP O CLASP é projetado de forma a facilitar a integração de suas atividades com um processo de desenvolvimento de software existente. Para isso cada atividade do CLASP é dividida em componentes de processos discretos e ligado a um ou mais 20

21 papéis no projeto. Dessa forma, o CLASP provê orientação aos participantes do projeto que facilitam a integração das melhores práticas em sua forma de trabalho. O que, de acordo com afirmação do próprio CLASP, resulta em aumentos incrementais de segurança facilmente realizável, repetível e mensurável. Outro item que aumenta a usabilidade do CLASP e facilita a utilização de suas melhores práticas em um processo já existente é a definição de um dicionário de vulnerabilidades. Esse dicionário ajuda a equipe de desenvolvimento evitar ou tratar erros específicos, tanto de projeto quanto de codificação, erros esses que podem conduzir a vulnerabilidades de segurança. O ponto forte desse dicionário de vulnerabilidades é sua taxonomia flexível, que é uma estrutura de classificação que permite a equipe de desenvolvimento rapidamente localizar a informação de várias perspectivas. Como exemplo pode-se citar a busca por: tipo do problema; categoria do tipo de problema; período de exposição; consequências da vulnerabilidade eventualmente explorada; plataformas e linguagens de programação afetadas; avaliação do risco, entre outras formas de localização da informação desejada. O CLASP pode ser didaticamente estruturado da seguinte forma: Visões do CLASP Recursos do CLASP Casos de Uso de Vulnerabilidades Visões do CLASP Os processos do CLASP são estruturados em cinco níveis de perspectiva chamados de visões. Essas visões são decompostas em atividades que por sua vez contêm componentes de processos. Essa estrutura Visões > Atividades > Componentes de Processos permite um rápido entendimento dos processos do CLASP, como os componentes interagem entre si, e como aplicar estes conceitos ao ciclo de vida de desenvolvimento de software específico. As visões do CLASP são as seguintes: Conceitos Visão baseada em papéis Visão de avaliação de atividades Visão de implementação de atividades Visão de vulnerabilidades 21

22 2.1.2 Casos de Uso de Vulnerabilidades Os Casos de Uso de Vulnerabilidades do CLASP descrevem condições sob as quais serviços de segurança podem se tornar vulneráveis nas aplicações. Os Casos de Uso do CLASP fornecem aos usuários exemplos, específicos e de fácil entendimento, da relação de causa e efeito entre o projeto e implementação sem consciência de segurança e as possíveis vulnerabilidades nos serviços básicos de segurança por exemplo: autenticação, confidencialidade, disponibilidade, responsabilidade e não repúdio. Os Casos de Uso de Vulnerabilidades do CLASP são baseados nos seguintes componentes de arquitetura mais comuns: Unix Monolítico Mainframe Monolítico Arquitetura distribuída (HTTP(S) e TCP/IP) Este trabalho, devido ao contexto da aplicação que é uma aplicação WEB, concentrará seus esforços no terceiro componente de arquitetura listado, ou seja, na arquitetura distribuída. Pode-se entender os Casos de Uso do CLASP como uma ponte entre a visão de conceitos do CLASP e o dicionário de vulnerabilidades (na Visão de Vulnerabilidades), uma vez que eles provêm exemplos específicos de serviços de segurança se tornando vulneráveis nas aplicações. 2.2 Referenciais Conceituais Um software pode ser composto por apenas algumas poucas dezenas de linhas de código construídas por um programador em poucas horas, bem como pode ser composto por milhões de linhas de código, imagens, dados de configuração, documentação etc, resultantes de um laborioso processo envolvendo centenas de pessoas que trabalham de forma coordenada durante vários anos. Existe, portanto, uma variedade de tipos de software, mas conforme Stair e Reynolds (2006), os softwares podem ser classificados em dois tipos principais: software de sistema, que são os que controlam as operações básicas de um computador (sistema operacional, dentre outros) e software de aplicação para fins específicos, como, por 22

23 exemplo, o que realiza o controle financeiro de uma empresa específica. O software de aplicação pode ser chamado simplesmente de aplicação ou aplicativo e é o foco desse texto. Um processo de software é um conjunto de atividades e resultados associados, desenvolvidos ciclicamente (como qualquer processo) em uma organização produtora de software, e que busca gerar um software com qualidade ou atributos esperados. Segundo Sommerville (2005), são atividades fundamentais comuns a todos os processos de software: Especificação: as funcionalidades do software e as restrições em sua operação devem ser previamente definidas em alguma fase do processo. Desenvolvimento: o processo deve fazer com que o software a ser produzido atenda às suas especificações. Validação: o processo deve validar o software, para garantir que ele faça o que o cliente deseja. Evolução: o processo deve permitir que software, durante sua evolução ao longo de várias versões, continue a atender à periódica mudança de necessidades de seus clientes e usuários. Toda organização adota um processo de desenvolvimento de software, mesmo que ele seja caótico. A melhoria de processos de produção de software depende, muitas vezes, de envolvimento de consultores em melhoria de processo. 2.3 Argumentos do Pesquisador Para se implementar software seguro é preciso superar uma série de problemas durante o desenvolvimento. A resolução desses problemas requer a utilização de processos consistentes. É possível citar, de forma livre, algumas características que espera-se encontrar em um processo de desenvolvimento de software seguro, por exemplo: Um processo seguro deve cobrir todo o ciclo de vida do software, desde os requisitos iniciais, passando pelo projeto, desenvolvimento, entrega, manutenções corretivas e evolutivas, ou seja, todas as fases do ciclo de vida do software. O processo deve ser bem definido para que novos utilizadores possam compreendê-lo, suportá-lo, mantê-lo e aprimorá-lo. Todos os produtos e todas as atividades do processo devem poder ser medidos com precisão. 23

24 O processo deve possuir um dono, deve ser suportado e estar sempre disponível, além de ser constantemente atualizado para refletir as mudanças no ambiente organizacional. O processo deve ser econômico e prático de se utilizar e servir para o desenvolvimento de uma grande variedade de tipos de produtos. O processo deve estabelecer e manter a integridade do produto durante todo o ciclo de vida, começando com os trabalhos de requisitos e projeto incluindo rigoroso gerenciamento de configuração e de implantação. O processo também deve fornecer os meios para assegurar a integridade e honestidade de todas as pessoas envolvidas no processo de desenvolvimento, melhoria, testes e implantação do produto. Além dos requisitos apresentados, um processo deve possibilitar a sua customização. Para ser amplamente aplicável, um processo seguro de desenvolvimento deve suprir as necessidades de uso de cada organização em que venha a ser aplicado. Isso significa permitir às equipes de software ajustar o processo para que possam usar novos métodos, ferramentas e tecnologias. A organização deve ser capaz de acomodar os detalhes específicos de seu negócio dentro do processo, especificar o método e as tecnologias que o seu pessoal irá utilizar. Esses são alguns dos requisitos para um processo seguro de desenvolvimento de software. A segurança de um processo requer práticas de Engenharia de Software, treinamento extensivo, trabalho consistente e disciplinado, dados compreensíveis e gerenciamento capaz e efetivo além de treinamentos de suporte. O processo que atender aos requisitos listados apresentará grandes chances de desenvolver produtos com qualidade e segurança. 24

25 3 Metodologia Para atingir os objetivos descritos no primeiro capítulo, a pesquisa se dedica a identificar as melhores práticas previstas pelo CLASP que se aplicam ao caso do sistema em questão e analisar, em forma de estudo de caso, o desenvolvimento de desse sistema estratégico para o Ministério Público Federal, que é o Sistema Único, assim chamado, pois será um sistema complexo que unificará toda a tramitação de processos dentro do órgão. A pesquisa tomará como base para a análise dos aspetos de segurança do processo de desenvolvimento de software do MPF as melhores práticas descritas no CLASP. O Sistema Único já se encontra em desenvolvimento e alguns dos seus módulos já estão em produção. É um sistema que faz o controle da tramitação dos expedientes do MPF. Entenda-se por expediente no contexto da aplicação como a categoria mais abrangente dos documentos que tramitam no MPF, suas subcategorias seriam: documentos administrativos, autos administrativos, autos judiciais, entre outras subcategorias de expedientes. O atual processo de desenvolvimento não contempla, pelo menos não explicitamente, os aspectos de segurança. Assim, a pesquisa pode vir a contribuir de forma ativa com a definição do processo e com o incremento da segurança da aplicação. Os problemas de segurança em software não são facilmente classificados em categorias distintas. Um problema de uma categoria pode desencadear consequências em diversas outras categorias. Por exemplo, um defeito de disponibilidade, dependendo das circunstancias, pode muito bem ser um defeito de segurança. Entender o núcleo do risco geralmente requer uma ampla noção arquitetural do problema, porém algumas vezes requer um entendimento de detalhes específicos do código envolvido. 25

26 Apesar disso, o CLASP apresenta um catálogo que classifica os temas que podem levar a problemas de segurança. Este catálogo é chamado pelo modelo de dicionário de vulnerabilidades. O dicionário de vulnerabilidades do CLASP identificou cento e quatro tipos de problemas, entenda-se por problemas, causas básicas de vulnerabilidades. Estes cento e quatro tipos de problemas foram divididos em cinco categorias de alto nível. Apesar dessa divisão, um tipo de problema pode ser classificado em mais de uma categoria. As cinco categorias são: Erros de tipo e intervalo Problemas de ambiente Erros de sincronização e temporização Erros de protocolo Erros gerais de lógica Nem todos os cento e quatro tipos de erro são aplicáveis ao contexto do Ministério Público Federal. Alguns são até aplicáveis ao MPF como um todo, porém não se aplicam ao desenvolvimento de software no que se refere ao caso restrito pesquisado neste trabalho. Assim, esse trabalho faz uma analise dos tipos de erros que se aplicam ao caso estudado, e verifica através de pesquisas, e participação ativa no desenvolvimento de software do Sistema Único quais os tipos de problemas de segurança da informação que são levados em consideração, ou não, durante o processo de desenvolvimento deste sistema. A categoria dos dados coletados é qualitativa e quantitativa. No que tange a abordagem qualitativa, é feita uma abordagem das principais consequências dos problemas de segurança não tratados durante a fase de desenvolvimento. E no que tange a abordagem quantitativa, é feita uma análise do nível de maturidade do processo de desenvolvimento do Sistema Único segundo as práticas sugeridas pelo CLASP. A análise do nível de segurança do processo é feita através de entrevistas com integrantes da equipe de desenvolvimento, além de pesquisa participativa, ou seja, com a participação direta na equipe de desenvolvimento, em busca de informações que possam revelar se determinado problema, elencado pelo CLASP, é levado em consideração ou não durante o processo de desenvolvimento. 26

27 A equipe na qual este trabalho se concentra é composta por cerca de doze pessoas, podendo variar em alguns momentos de acordo com férias e mudanças de equipe. Devido a alguns obstáculos no decorrer da pesquisa, como muitos integrantes de férias, muitas demandas para uma equipe pequena, greves, entre outros percalços, as entrevistas puderam ser realizadas apenas com três integrantes desta equipe. O que dá um total de quatro envolvidos (três entrevistados e o autor), quantia relativamente pequena, porém os três entrevistados trabalham pode-se dizer desde o começo do Sistema Único, portanto possuem ampla experiência neste sistema. As entrevistas consideram são realizadas da seguinte maneira: o autor apresenta cada uma das trinta vulnerabilidades a cada um dos entrevistados, suas opiniões podem ser de que o item é atendido, parcialmente atendido ou não atendido. Em cada um dos itens, o autor apresenta ao entrevistado uma explicação baseada no CLASP, ou em mais fontes quando necessário. Caso a explicação não seja suficiente para formar a opinião do entrevistado, são feitas pesquisas em códigos-fonte, sistema de arquivos, servidores e outas fontes até que se chegue a uma conclusão. Caso não se chegue a uma conclusão o entrevistado pode deixar a resposta em branco, situação que se verificou com um entrevistado em um item apenas. No caso de um entrevistado não chegar a uma conclusão o autor poderia promover um debate entre mais de um entrevistado para discutir o item em questão, porém optou-se por não abrir esta possibilidade para que as opiniões não fossem influenciadas de alguma forma. Dessa forma, a metodologia do trabalho pode ser sintetizada como nos parágrafos a seguir. A questão de pesquisa será: Qual o nível de aderência do processo de desenvolvimento de software do Ministério Público Federal aos aspectos de segurança da informação elencados pelo CLASP? Serão investigados diversos aspectos de segurança envolvidos no processo de desenvolvimento de software. A formada da pesquisa será o de um estudo de caso sobre o processo de desenvolvimento de software no Ministério Público Federal de forma a observar quais problemas de segurança da informação são levados em consideração durante a fase de desenvolvimento de software. Os dados levantados durante a pesquisa serão qualitativos e quantitativos. Para fazer o levantamento dos dados serão utilizadas diversas fontes, pode-se citar 27

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Conviso Security Training Ementa dos Treinamentos

Conviso Security Training Ementa dos Treinamentos Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development Segurança no Desenvolvimento de Aplicações Web Security in Web Applications Development Jonas Alves de Oliveira 1 Leonardo Luiz Teodoro Campos 2 Cristiano Antônio Rocha Silveira Diniz 3 Resumo: Este artigo

Leia mais

Aula 4 WEB 2.0. 1. Conceito

Aula 4 WEB 2.0. 1. Conceito Centro Universitário de Volta Redonda - UniFOA Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro V. 2009-2 Aula 4 WEB 2.0 Web 2.0 é um

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion Principais tecnologias front-end HTML CSS JAVASCRIPT AJAX JQUERY FLASH JAVA APPLET Linguagens que executam no cliente HTML

Leia mais

Weber Ress weber@weberress.com

Weber Ress weber@weberress.com Weber Ress weber@weberress.com SDL Security Development Lifecycle SD 3 +C Security by Design Security by Default Security in Deployment Communications SDL Processo de desenvolvimento clássico Processo

Leia mais

Modelo de processo para desenvolvimento de aplicações seguras OWASP. The OWASP Foundation http://www.owasp.org

Modelo de processo para desenvolvimento de aplicações seguras OWASP. The OWASP Foundation http://www.owasp.org Modelo de processo para desenvolvimento de aplicações seguras Tarcizio Vieira Neto member SERPRO tarcizio.vieira@owasp.org AppSec LATAM 2011 06/10/2011 Copyright The Foundation Permission is granted to

Leia mais

Padrões de Contagem de Pontos de Função

Padrões de Contagem de Pontos de Função Padrões de Contagem de Pontos de Função Contexto Versão: 1.0.0 Objetivo O propósito deste documento é apresentar os padrões estabelecidos para utilização da técnica de Análise de Pontos de Função no ambiente

Leia mais

UM ESTUDO SOBRE ARQUITETURA PARA DESENVOLVIMENTO DE SOFTWARE WEB UTILIZANDO NOVAS TECNOLOGIAS

UM ESTUDO SOBRE ARQUITETURA PARA DESENVOLVIMENTO DE SOFTWARE WEB UTILIZANDO NOVAS TECNOLOGIAS UM ESTUDO SOBRE ARQUITETURA PARA DESENVOLVIMENTO DE SOFTWARE WEB UTILIZANDO NOVAS TECNOLOGIAS Edi Carlos Siniciato ¹, William Magalhães¹ ¹ Universidade Paranaense (Unipar) Paranavaí PR Brasil edysiniciato@gmail.com,

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Essencial ao Desenvolvimento de Software

Essencial ao Desenvolvimento de Software Documento de Requisitos Essencial ao Desenvolvimento de Software De que se trata o artigo? Apresenta o documento de requisitos de software, destacando-o como um dos principais documentos pertinentes ao

Leia mais

Um cluster de servidores de email pode ser usado para servir os emails de uma empresa.

Um cluster de servidores de email pode ser usado para servir os emails de uma empresa. CLUSTERS Pode-se pegar uma certa quantidade de servidores e juntá-los para formar um cluster. O serviço então é distribuído entre esses servidores como se eles fossem uma máquina só. Um cluster de servidores

Leia mais

Cumprindo as exigências 6.6 do PCI DSS

Cumprindo as exigências 6.6 do PCI DSS Cumprindo as exigências 6.6 do PCI DSS Em abril de 2008, o Conselho de Padrões de Segurança (SSC, na sigla em inglês) do Setor de Cartões de Pagamento (PCI, na sigla em inglês) publicou um esclarecimento

Leia mais

Arquitetura de Sistemas Operacionais Machado/Maia. Arquitetura de Sistemas

Arquitetura de Sistemas Operacionais Machado/Maia. Arquitetura de Sistemas Arquitetura de Sistemas Operacionais Capítulo 4 Estrutura do Sistema Operacional Cap. 4 Estrutura do Sistema 1 Sistemas Operacionais Pitágoras Fadom Divinópolis Material Utilizado na disciplina Sistemas

Leia mais

Sistemas Operacionais

Sistemas Operacionais UNIVERSIDADE BANDEIRANTE DE SÃO PAULO INSTITUTO POLITÉCNICO CURSO DE SISTEMAS DE INFORMAÇÃO Sistemas Operacionais Notas de Aulas: Tópicos 7 e 8 Estrutura do Sistema Operacional São Paulo 2009 1 Sumário

Leia mais

CURSO DESENVOLVEDOR JAVA Edição Intensiva de Férias

CURSO DESENVOLVEDOR JAVA Edição Intensiva de Férias CURSO DESENVOLVEDOR JAVA Edição Intensiva de Férias O curso foi especialmente planejado para os profissionais que desejam trabalhar com desenvolvimento de sistemas seguindo o paradigma Orientado a Objetos

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Centro Universitário de Volta Redonda - UniFOA Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

5 Estudo de caso: utilizando o sistema para requisição de material

5 Estudo de caso: utilizando o sistema para requisição de material 61 5 Estudo de caso: utilizando o sistema para requisição de material A fim de avaliar as características da arquitetura proposta e a corretude da implementação, realizamos experiências com cenários de

Leia mais

Teste de software. Definição

Teste de software. Definição Definição O teste é destinado a mostrar que um programa faz o que é proposto a fazer e para descobrir os defeitos do programa antes do uso. Quando se testa o software, o programa é executado usando dados

Leia mais

O que é software? Software e Engenharia de Software. O que é software? Tipos de Sistemas de Software. A Evolução do Software

O que é software? Software e Engenharia de Software. O que é software? Tipos de Sistemas de Software. A Evolução do Software O que é software? Software e Engenharia de Software Programas de computador Entidade abstrata. Ferramentas (mecanismos) pelas quais: exploramos os recursos do hardware. executamos determinadas tarefas

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com Conceitos de segurança da informação Prof. Nataniel Vieira nataniel.vieira@gmail.com Introdução A infraestrutura de rede, os serviços e dados contidos nos computadores ligados a ela são bens pessoais,

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

SISTEMAS OPERACIONAIS. Apostila 03 Estrutura do Sistema Operacional UNIBAN

SISTEMAS OPERACIONAIS. Apostila 03 Estrutura do Sistema Operacional UNIBAN SISTEMAS OPERACIONAIS Apostila 03 Estrutura do Sistema Operacional UNIBAN 1.0 O Sistema Operacional como uma Máquina Virtual A arquitetura (conjunto de instruções, organização de memória, E/S e estrutura

Leia mais

Projeto de Arquitetura

Projeto de Arquitetura Projeto de Arquitetura Ian Sommerville 2006 Engenharia de Software, 8ª. edição. Capítulo 11 Slide 1 Objetivos Apresentar projeto de arquitetura e discutir sua importância Explicar as decisões de projeto

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

Universidade Federal de Goiás Centro de Recursos Computacionais - CERCOMP Divisão de Sistemas. Criação de uma Serviço de Geração de Relatórios

Universidade Federal de Goiás Centro de Recursos Computacionais - CERCOMP Divisão de Sistemas. Criação de uma Serviço de Geração de Relatórios Universidade Federal de Goiás Centro de Recursos Computacionais - CERCOMP Divisão de Sistemas Criação de uma Serviço de Geração de Relatórios Goiânia 12/2011 Versionamento 12/12/2011 Hugo Marciano... 1.0

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

UNIVERSIDADE FEDERAL DO RIO DE JANEIRO ESCOLA DE ENGENHARIA DEPARTAMENTO DE ELETRÔNICA. Sistema de Gerenciamento Eletrônico de Documentos

UNIVERSIDADE FEDERAL DO RIO DE JANEIRO ESCOLA DE ENGENHARIA DEPARTAMENTO DE ELETRÔNICA. Sistema de Gerenciamento Eletrônico de Documentos UNIVERSIDADE FEDERAL DO RIO DE JANEIRO ESCOLA DE ENGENHARIA DEPARTAMENTO DE ELETRÔNICA Sistema de Gerenciamento Eletrônico de Documentos Autor: Evandro Bastos Tavares Orientador: Antônio Claudio Gomez

Leia mais

Relatório apresentado na reunião em Karlsruher Institut für Technologie Karlsruhe, Alemanha

Relatório apresentado na reunião em Karlsruher Institut für Technologie Karlsruhe, Alemanha Relatório apresentado na reunião em Karlsruher Institut für Technologie Karlsruhe, Alemanha Arquitetura da Informação para o Sistema Brasileiro de Inventário de Ciclo de Vida (SICV BRASIL) Everson Andrade

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Minicurso MoReq-Jus Mar/2010

Minicurso MoReq-Jus Mar/2010 Minicurso MoReq-Jus Mar/2010 Pauta O que é um Modelo de Requisitos? Modelo de Requisitos: Benefícios Pirâmide de Requisitos MoReq-Jus Motivação Objetivos Principais referências Evolução Abrangência dos

Leia mais

CURSO DESENVOLVEDOR JAVA WEB E FLEX Setembro de 2010 à Janeiro de 2011

CURSO DESENVOLVEDOR JAVA WEB E FLEX Setembro de 2010 à Janeiro de 2011 CURSO DESENVOLVEDOR JAVA WEB E FLEX Setembro de 2010 à Janeiro de 2011 O curso foi especialmente planejado para os profissionais que desejam trabalhar com desenvolvimento de sistemas seguindo o paradigma

Leia mais

Geração e execução de scripts de teste em aplicações web a partir de casos de uso direcionados por comportamento 64

Geração e execução de scripts de teste em aplicações web a partir de casos de uso direcionados por comportamento 64 direcionados por comportamento 64 5 Estudo de caso Neste capítulo serão apresentadas as aplicações web utilizadas na aplicação da abordagem proposta, bem como a tecnologia em que foram desenvolvidas, o

Leia mais

EMENTA DO CURSO. Tópicos:

EMENTA DO CURSO. Tópicos: EMENTA DO CURSO O Curso Preparatório para a Certificação Oracle Certified Professional, Java SE 6 Programmer (Java Básico) será dividido em 2 módulos e deverá ter os seguintes objetivos e conter os seguintes

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança 3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade

Leia mais

Para construção dos modelos físicos, será estudado o modelo Relacional como originalmente proposto por Codd.

Para construção dos modelos físicos, será estudado o modelo Relacional como originalmente proposto por Codd. Apresentação Este curso tem como objetivo, oferecer uma noção geral sobre a construção de sistemas de banco de dados. Para isto, é necessário estudar modelos para a construção de projetos lógicos de bancos

Leia mais

5. Bases de dados: as questões de segurança, de criptografia e de proteção de dados

5. Bases de dados: as questões de segurança, de criptografia e de proteção de dados 5. Bases de dados: as questões de segurança, de criptografia e de proteção de dados A proteção jurídica das bases de dados em Portugal é regulada pelo Decreto-Lei n.º 122/2000, de 4 de Julho, que transpõe

Leia mais

Introdução ao OpenUP (Open Unified Process)

Introdução ao OpenUP (Open Unified Process) Introdução ao OpenUP (Open Unified Process) Diferentes projetos têm diferentes necessidades de processos. Fatores típicos ditam as necessidades de um processo mais formal ou ágil, como o tamanho da equipe

Leia mais

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO Intranets FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO As intranets são redes internas às organizações que usam as tecnologias utilizadas na rede mundial

Leia mais

ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE

ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE Amarildo Aparecido Ferreira Junior 1, Ricardo Ribeiro Rufino 1 ¹Universidade Paranaense (Unipar) Paranavaí PR Brasil aapfjr@gmail.com

Leia mais

SO Sistemas Operacionais

SO Sistemas Operacionais GOVERNO DO ESTADO DO RIO DE JANEIRO FUNDAÇÃO DE APOIO A ESCOLA TÉCNICA ESCOLA TÉCNICA ESTADUAL REPÚBLICA SO Sistemas Operacionais Curso de Informática ETE REPÚBLICA - Rua Clarimundo de Melo, 847, Quintino

Leia mais

Contrato de Serviço (SLA) Para Hipermercados Extra Por Esperança_TI S.A

Contrato de Serviço (SLA) Para Hipermercados Extra Por Esperança_TI S.A Esperança_TI S.A S/A Contrato de Serviço (SLA) Para Hipermercados Extra Por Esperança_TI S.A 25/11/2014 Gerador do documento: Gerente de Negociação: Marcos Alves de Oliveira Marcos Antônio de Morais Aprovação

Leia mais

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &\QDUD&DUYDOKR F\QDUDFDUYDOKR#\DKRRFRPEU

Leia mais

Um sistema é constituído de um conjunto de processos que executam seus respectivos códigos do sistema operacional e processos e códigos de usuários.

Um sistema é constituído de um conjunto de processos que executam seus respectivos códigos do sistema operacional e processos e códigos de usuários. Os sistemas computacionais atuais permitem que diversos programas sejam carregados na memória e executados simultaneamente. Essa evolução tornou necessário um controle maior na divisão de tarefas entre

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Engenharia de Software Introdução. Ricardo Argenton Ramos UNIVASF Engenharia de Software I - Aula 1

Engenharia de Software Introdução. Ricardo Argenton Ramos UNIVASF Engenharia de Software I - Aula 1 Engenharia de Software Introdução Ricardo Argenton Ramos UNIVASF Engenharia de Software I - Aula 1 Tópicos Apresentação da Disciplina A importância do Software Software Aplicações de Software Paradigmas

Leia mais

Processos (Threads,Virtualização e Migração de Código)

Processos (Threads,Virtualização e Migração de Código) Processos (Threads,Virtualização e Migração de Código) Roteiro Processos Threads Virtualização Migração de Código O que é um processo?! Processos são programas em execução. Processo Processo Processo tem

Leia mais

Notas da Aula 15 - Fundamentos de Sistemas Operacionais

Notas da Aula 15 - Fundamentos de Sistemas Operacionais Notas da Aula 15 - Fundamentos de Sistemas Operacionais 1. Software de Entrada e Saída: Visão Geral Uma das tarefas do Sistema Operacional é simplificar o acesso aos dispositivos de hardware pelos processos

Leia mais

Privacidade na Web. Cristine Hoepers cristine@cert.br!

Privacidade na Web. Cristine Hoepers cristine@cert.br! Privacidade na Web Cristine Hoepers cristine@cert.br! Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Núcleo de Informação e Coordenação do Ponto BR Comitê Gestor da Internet

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

AULA 5. Embora o termo segurança da informação já diga muito, é interessante descrever um pouco mais sobre objetivos da segurança de informação.

AULA 5. Embora o termo segurança da informação já diga muito, é interessante descrever um pouco mais sobre objetivos da segurança de informação. AULA 5 OBJETIVOS EM SEGURANÇA DA INFORMAÇÃO Embora o termo segurança da informação já diga muito, é interessante descrever um pouco mais sobre objetivos da segurança de informação. Podemos listar como

Leia mais

Ferramenta de apoio a gerência de configuração de software. Aluno: Rodrigo Furlaneto Orientador: Everaldo Artur Grahl

Ferramenta de apoio a gerência de configuração de software. Aluno: Rodrigo Furlaneto Orientador: Everaldo Artur Grahl Ferramenta de apoio a gerência de configuração de software Aluno: Rodrigo Furlaneto Orientador: Everaldo Artur Grahl Roteiro de apresentação Introdução Objetivos Fundamentação Teórica Gerência de Configuração

Leia mais

Palavras-Chaves: engenharia de requisitos, modelagem, UML.

Palavras-Chaves: engenharia de requisitos, modelagem, UML. APLICAÇÃO DA ENGENHARIA DE REQUISITOS PARA COMPREENSÃO DE DOMÍNIO DO PROBLEMA PARA SISTEMA DE CONTROLE COMERCIAL LEONARDO DE PAULA SANCHES Discente da AEMS Faculdades Integradas de Três Lagoas RENAN HENRIQUE

Leia mais

XDR. Solução para Big Data.

XDR. Solução para Big Data. XDR Solução para Big Data. ObJetivo Principal O volume de informações com os quais as empresas de telecomunicações/internet têm que lidar é muito grande, e está em constante crescimento devido à franca

Leia mais

PROJETO PEDAGÓGICO DE CURSOS

PROJETO PEDAGÓGICO DE CURSOS 1 de 6 PROJETO PEDAGÓGICO DE CURSOS BURITREINAMENTOS MANAUS-AM NOVEMBRO / 2014 2 de 6 PACOTES DE TREINAMENTOS BURITECH A Buritech desenvolveu um grupo de pacotes de treinamentos, aqui chamados de BuriPacks,

Leia mais

Ambientes Visuais. Ambientes Visuais

Ambientes Visuais. Ambientes Visuais Ambientes Visuais Inicialmente, apenas especialistas utilizavam os computadores, sendo que os primeiros desenvolvidos ocupavam grandes áreas e tinham um poder de processamento reduzido. Porém, a contínua

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Sistema de Automação Comercial de Pedidos

Sistema de Automação Comercial de Pedidos Termo de Abertura Sistema de Automação Comercial de Pedidos Cabana - Versão 1.0 Iteração 1.0- Release 1.0 Versão do Documento: 1.5 Histórico de Revisão Data Versão do Documento Descrição Autor 18/03/2011

Leia mais

DESENVOLVENDO APLICAÇÃO UTILIZANDO JAVA SERVER FACES

DESENVOLVENDO APLICAÇÃO UTILIZANDO JAVA SERVER FACES DESENVOLVENDO APLICAÇÃO UTILIZANDO JAVA SERVER FACES Alexandre Egleilton Araújo, Jaime Willian Dias Universidade Paranaense (Unipar) Paranavaí PR Brasil araujo.ale01@gmail.com, jaime@unipar.br Resumo.

Leia mais

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA SOLUÇÃO SISTÊMICA BASEADA EM CÓDIGO ABERTO PARA DEFESA E MITIGAÇÃO DE ATAQUES À APLICAÇÕES WEB. DANIEL ALMEIDA DE PAULA BRASÍLIA

Leia mais

Criptografia e Segurança em Rede Capítulo 1. De William Stallings

Criptografia e Segurança em Rede Capítulo 1. De William Stallings Criptografia e Segurança em Rede Capítulo 1 De William Stallings Capítulo 1 Introdução A arte da guerra nos ensina a contar não com a probabilidade de o inimigo não chegar, mas com nossa própria prontidão

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Algumas propriedades dos objetos:

Algumas propriedades dos objetos: Orientação a Objetos Vivemos num mundo de objetos. Esses objetos existem na natureza, nas entidades feitas pelo homem, nos negócios e nos produtos que usamos. Eles podem ser categorizados, descritos, organizados,

Leia mais

LEI DE ACESSO A INFORMAÇÃO DIREITO DO CIDADÃO

LEI DE ACESSO A INFORMAÇÃO DIREITO DO CIDADÃO DESCRIÇÃO DO SIGAI O SIGAI (Sistema Integrado de Gestão do Acesso à Informação) é uma solução de software que foi desenvolvida para automatizar os processos administrativos e operacionais visando a atender

Leia mais

Ferramenta: Spider-CL. Manual do Usuário. Versão da Ferramenta: 1.1. www.ufpa.br/spider

Ferramenta: Spider-CL. Manual do Usuário. Versão da Ferramenta: 1.1. www.ufpa.br/spider Ferramenta: Spider-CL Manual do Usuário Versão da Ferramenta: 1.1 www.ufpa.br/spider Histórico de Revisões Data Versão Descrição Autor 14/07/2009 1.0 15/07/2009 1.1 16/07/2009 1.2 20/05/2010 1.3 Preenchimento

Leia mais

SIGECO07 Sistema Integrado de Gestão de Contas Universidade Federal de Lavras PLANO DE PROJETO 23/09/2007 SIGECO07/GERENCIA/PROJETOS/

SIGECO07 Sistema Integrado de Gestão de Contas Universidade Federal de Lavras PLANO DE PROJETO 23/09/2007 SIGECO07/GERENCIA/PROJETOS/ SIGECO07 Sistema Integrado de Gestão de Contas Universidade Federal de Lavras PLANO DE PROJETO 23/09/2007 SIGECO07/GERENCIA/PROJETOS/ ModeloPlanoProjeto_2007_04_24 SIGECO07_PlanoProjeto_2007_09_23 Página

Leia mais

Trabalho de Sistemas Distribuídos

Trabalho de Sistemas Distribuídos Cássio de Olivera Ferraz Trabalho de Sistemas Distribuídos Petrópolis 2015, v-1.0 Cássio de Olivera Ferraz Trabalho de Sistemas Distribuídos Trabalho sobre sistemas distribuídos e suas tecnologias. Universidade

Leia mais

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma 6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma empresa. Diferente do senso comum o planejamento não se limita

Leia mais

Contrato de Serviço (SLA) para [Cliente] por [Provedor]

Contrato de Serviço (SLA) para [Cliente] por [Provedor] Contrato de Serviço (SLA) para [Cliente] por [Provedor] Data Gerador do documento: Gerente de Negociação: Versões Versão Data Revisão Autor Aprovação (Ao assinar abaixo, o cliente concorda com todos os

Leia mais

Conceitos de extensões Joomla!

Conceitos de extensões Joomla! capítulo 1 Conceitos de extensões Joomla! Entendendo o que é extensão Extensão pode ser entendida como uma pequena aplicação desenvolvida com regras de construção estabelecidas pelo ambiente Joomla!. É

Leia mais

Consultar Tabelas Administrativas

Consultar Tabelas Administrativas STN Coordenação-Geral de Sistemas e Tecnologia de Informação Sistema Integrado de Administração Financeira do Governo Federal SIAFI Secretaria do Tesouro Nacional STN Documentação de Serviços de Interoperabilidade

Leia mais

QUALIDADE DE SOFTWARE. Ian Sommerville 2006 Engenharia de Software, 8ª. edição. Capítulo 27 Slide 1

QUALIDADE DE SOFTWARE. Ian Sommerville 2006 Engenharia de Software, 8ª. edição. Capítulo 27 Slide 1 QUALIDADE DE SOFTWARE Ian Sommerville 2006 Engenharia de Software, 8ª. edição. Capítulo 27 Slide 1 Objetivos Apresentar o processo de gerenciamento de qualidade e as atividades centrais da garantia de

Leia mais

Capítulo 1 - Introdução 14

Capítulo 1 - Introdução 14 1 Introdução Em seu livro Pressman [22] define processo de software como um arcabouço para as tarefas que são necessárias para construir software de alta qualidade. Assim, é-se levado a inferir que o sucesso

Leia mais

Aplicativo da Manifestação do Destinatário. Manual

Aplicativo da Manifestação do Destinatário. Manual Aplicativo da Manifestação do Destinatário Manual Novembro de 2012 1 Sumário 1 Aplicativo de Manifestação do Destinatário...4 2 Iniciando o aplicativo...4 3 Menus...5 3.1 Manifestação Destinatário...5

Leia mais

CURSO DESENVOLVEDOR JAVA Edição 2009

CURSO DESENVOLVEDOR JAVA Edição 2009 CURSO DESENVOLVEDOR JAVA Edição 2009 O curso foi especialmente planejado para os profissionais que desejam trabalhar com desenvolvimento de sistemas seguindo o paradigma Orientado a Objetos e com o uso

Leia mais

6 Infraestrutura de Trabalho

6 Infraestrutura de Trabalho 6 Infraestrutura de Trabalho Este capítulo tem como objetivo fornecer uma visão geral do ambiente de trabalho encontrado na organização estudada, bem como confrontá-lo com a organização ideal tal como

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

SISTEMAS DISTRIBUÍDOS Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com.br

SISTEMAS DISTRIBUÍDOS Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com.br - Aula 5 PROCESSOS 1. INTRODUÇÃO Em sistemas distribuídos é importante examinar os diferentes tipos de processos e como eles desempenham seu papel. O conceito de um processo é originário do campo de sistemas

Leia mais

Qualidade de software

Qualidade de software Faculdade de Ciências Sociais e Aplicadas de Petrolina - FACAPE Curso: Ciência da Computação Disciplina:Projeto de Sistemas Qualidade de software cynaracarvalho@yahoo.com.br Qualidade de software Qualidade

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

CEP 2 100 99010-640 0 (XX) 54 3316 4500 0 (XX)

CEP 2 100 99010-640 0 (XX) 54 3316 4500 0 (XX) ANEXO 2 INFORMAÇÕES GERAIS VISTORIA 1. É obrigatória a visita ao hospital, para que a empresa faça uma vistoria prévia das condições, instalações, capacidade dos equipamentos, migração do software e da

Leia mais

Universidade Paulista

Universidade Paulista Universidade Paulista Ciência da Computação Sistemas de Informação Gestão da Qualidade Principais pontos da NBR ISO/IEC 12207 - Tecnologia da Informação Processos de ciclo de vida de software Sergio Petersen

Leia mais

ITIL V3 (aula 2) AGENDA: GERENCIAMENTO DE MUDANÇA GERENCIAMENTO DE LIBERAÇÃO GERENCIAMENTO DE CONFIGURAÇÃO

ITIL V3 (aula 2) AGENDA: GERENCIAMENTO DE MUDANÇA GERENCIAMENTO DE LIBERAÇÃO GERENCIAMENTO DE CONFIGURAÇÃO ITIL V3 (aula 2) AGENDA: GERENCIAMENTO DE MUDANÇA GERENCIAMENTO DE LIBERAÇÃO GERENCIAMENTO DE CONFIGURAÇÃO Gerência de Mudanças as Objetivos Minimizar o impacto de incidentes relacionados a mudanças sobre

Leia mais

PROCESSO DE DESENVOLVIMENTO DE SOFTWARE. Modelos de Processo de Desenvolvimento de Software

PROCESSO DE DESENVOLVIMENTO DE SOFTWARE. Modelos de Processo de Desenvolvimento de Software PROCESSO DE DESENVOLVIMENTO DE SOFTWARE Introdução Modelos de Processo de Desenvolvimento de Software Os modelos de processos de desenvolvimento de software surgiram pela necessidade de dar resposta às

Leia mais

Gerenciamento de configuração. Gerenciamento de Configuração. Gerenciamento de configuração. Gerenciamento de configuração. Famílias de sistemas

Gerenciamento de configuração. Gerenciamento de Configuração. Gerenciamento de configuração. Gerenciamento de configuração. Famílias de sistemas Gerenciamento de Gerenciamento de Configuração Novas versões de sistemas de software são criadas quando eles: Mudam para máquinas/os diferentes; Oferecem funcionalidade diferente; São configurados para

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

Documento de Arquitetura

Documento de Arquitetura Documento de Arquitetura A2MEPonto - SISTEMA DE PONTO ELETRÔNICO A2MEPonto - SISTEMA DE PONTO ELETRÔNICO #1 Pág. 1 de 11 HISTÓRICO DE REVISÕES Data Versão Descrição Autor 28/10/2010 1 Elaboração do documento

Leia mais

PDS - DATASUS. Processo de Desenvolvimento de Software do DATASUS

PDS - DATASUS. Processo de Desenvolvimento de Software do DATASUS PDS - DATASUS Processo de Desenvolvimento de Software do DATASUS Coordenação Geral de Arquitetura e Engenharia Tecnológica Coordenação de Padronização e Qualidade de Software Gerência de Padrões e Software

Leia mais