focada na qualidade do software Faculdade SENAC DF Pós-Graduação em Segurança da Informação RESUMO Brasília-DF 2013 ABSTRACT Ficha Catalográfica

Tamanho: px
Começar a partir da página:

Download "focada na qualidade do software Faculdade SENAC DF Pós-Graduação em Segurança da Informação RESUMO Brasília-DF 2013 ABSTRACT Ficha Catalográfica"

Transcrição

1 Faculdade SENAC DF Pós-Graduação em Segurança da Informação Jacy Ferreira Edilberto Magalhães Silva Brasília-DF 2013 Trabalho de Conclusão de Curso apresentado à FACSENAC-DF Faculdade Senac do DF como requisito para a obtenção do título tulo de Especialista em Segurança a da Informação. Auditoria de código-fonte: uma abordagem focada na qualidade do software RESUMO A qualidade de software é alcançada quando o produto está em conformidade com os requisitos do usuário e atende às normas de mercado. Para que o produto esteja em conformidade, é necessário que todas as fases, desde a construção até a implantação, estejam dentro das normas. Atualmente, é grande o número de vulnerabilidades descobertas após os softwares ser disponibilizados no ambiente produtivo, em muitos casos por negligência ou descuido na fase de construção, demandando constantes atualizações. Este artigo propõe a criação de um framework de processos ao unificar ferramentas de controle de versão com as de análise estática de código, com o objetivo de melhorar a qualidade de software. Atende-se dessa forma às necessidades de segurança e auditoria ao controlar as modificações dos softwares por meio de ferramentas de análise estática de código integradas em um framework, reduzindo as vulnerabilidades de código e tornando o software mais seguro. Palavras-Chave: Vulnerabilidade; Auditoria de Código; Framework; Qualidade de Software. ABSTRACT Ficha Catalográfica F383a Ferreira, Jacy. Auditoria de código-fonte: uma abordagem focada na qualidade de software / Jacy Ferreira. Brasília: Faculdade Senac-DF, f.: il. Orientador: Edilberto Magalhães Silva Trabalho de Conclusão de Curso (Especialização em Segurança da Informação), Faculdade Senac-DF, Vulnerabilidade. 2. Auditoria de Código 3. Qualidade de Software. CDU Software quality is achieved when product is in accordance with user requirements and market standards. For the product complies, it is necessary that all phases, from construction to deployment, are in accordance with rules. Nowadays, a large number of vulnerabilities are discovered after the software is available to the production environment, in many cases due to neglecting or oversight in the construction phase, requiring constantly updates. This paper proposes the creation of a process framework by unifying tools version control with static analysis of code, intending to improve software quality. Meeting the needs of security and auditing to software track changes through static analysis tools integrated into a code framework make possible to reduce code vulnerabilities and achieve a more secure software. Keywords: Vulnerability; Audit Code; Framework; Software Quality.

2 Auditoria de código-fonte: uma abordagem focada na qualidade do software 2 1 INTRODUÇÃO O objetivo deste artigo é propor a criação de um framework de processos ao unificar ferramentas de controle de versão com as de análise estática de código, com o objetivo de melhorar a qualidade de software. Dentro do contexto da segurança da informação, a partir de processos e ferramentas de auditoria, análise de código e controle de versões (PCVS 1 ) disponíveis para controle da qualidade de software, serão avaliadas algumas das normas disponíveis no mercado, fazendo uma analogia com as técnicas de engenharia de software, auditoria de sistemas e metodologias e ferramentas adotadas pelo mercado atualmente. Este trabalho não pretende definir norma ou padrão a ser seguido para as ferramentas que tratam da qualidade de software, porém busca propor melhorias aplicando-as em uma das fases do processo de construção do software, sugerindo a integração das ferramentas já existentes no mercado, criando dessa forma um framework 2 de processos que atende à necessidade de auditoria de código. Sugere-se a integração das ferramentas de controle de versões (CVS) com as ferramentas de análise de código-fonte aliada às técnicas de auditoria e normas aplicadas à qualidade, com o objetivo de identificar possíveis vulnerabilidades de forma automática, melhorando assim a segurança de software e a auditoria de código-fonte. A proposta surgiu após conhecer a ferramenta conhecida como Open Source Security Information Management (OSSIM 3 ), que integra diversos aplicativos para gerenciamento de eventos de segurança. Após analisar diversas ferramentas de controle de versões e de análise estática de código, e de realizar pesquisas na literatura referente ao tema, foram encontrados processos que já direcionam esforços para a melhoria de código por meio do framework de processos sugerido neste artigo, porém não há ainda uma 1PCVS Program Version Control Systems (Programa de Controle de Versões) é um software que possui a função de armazenar todo o histórico de alterações em qualquer dos arquivos de códigofonte que compõem um produto de software. 2 Framework é um conjunto de classes que colaboram para realizar uma responsabilidade para um domínio de um subsistema da aplicação. Fayad e Schmidt. 3 Open Source Security Information Management (Ossim) é uma solução open source para gerenciamento de eventos de segurança (Siem) com inteligência para classificar riscos de eventos e ativos, bem como verificar a conformidade com as normas ABNT ISO/IEC 27001:2005 e Payment Card Industry Data Security Standard (PCI-DSS).

3 Auditoria de código-fonte: uma abordagem focada na qualidade do software 3 padronização definida para melhorar a segurança de software. Este estudo está embasado na normas ABNT ISO/IEC 27001:2005, ISO/IEC 27002:2005, ISO/IEC 9000:2000, ISO/IEC 15504:2004, ISO/IEC 12207:2008, auditoria de sistemas, CVS, qualidade de software, CMMI-Dev v1.3 e Cobit 4.1. Segundo Elias (2013), a análise de código-fonte permite detectar fragilidades de desenvolvimento identificando: se as práticas de desenvolvimento seguem conceitos de programação segura; se os controles planejados são efetivos para mitigar os riscos; práticas de códigos vulneráveis. Ainda de acordo com o autor, a auditoria de código deve verificar os seguintes tópicos: i) validação de dados; ii) autenticação; iii) gerenciamento de sessão; iv) autorização; v) criptografia; vi) validação de erros; vii) log; viii) configuração de segurança; ix) arquitetura de redes (ELIAS, 2013). 2 HISTÓRIA DO DESENVOLVIMENTO DE SOFTWARE Para Pacievitch (2011), as linguagens de programação são códigos usados para realizar a comunicação com o computador. São linguagens constituídas de comandos que, utilizados corretamente, executam uma ação. A programação nos computadores não têm data exata de início. Tudo começou na década de 1930, com os primeiros computadores elétricos. Em 1948, Konrad Zuse criou a linguagem de programação Plankalkul. Na época, ainda sem muita utilidade, foi esquecida. Antes de a programação passar para o computador, eram usados cartões de papelão perfurados, criando códigos. Pacievitch (2011). Foi na década de 1950 que as primeiras linguagens modernas surgiram. FORTRAN (1955), List Processor (LISP) e COmmon Business Oriented Language (COBOL). Também apareceu na mesma época a ALGOL 60 (PACIEVITCH, 2011). À época, surgiram (PACIEVITCH, 2011): Simula inventada nos anos 1960 por Nygaard e Dahl, foi a primeira linguagem a suportar o conceito de classes;

4 Auditoria de código-fonte: uma abordagem focada na qualidade do software 4 C uma das primeiras linguagens de programação de sistemas, criada por Dennis Ritchie e Ken Thompson, tem ainda grande influência no mundo atual; Prolog projetada em 1972, foi a primeira linguagem de programação com paradigma lógico; Pascal teve sua época, embora atualmente esteja quase sem uso. Nos anos 1980 surgiu a linguagem C++, criada para ser compatível com C, tornou-se tão popular quanto esta por ser mais simples e dinâmica; e a Perl, ótima para trabalhar em níveis de sobrecarga grandes. Nos anos 1990, a internet impôs-se como um furacão e mudou totalmente o rumo da programação, surgindo a visual Basic e o Object Pascal (PACIEVITCH, 2011) As linguagens Java e Java script foram também criadas, ambas relacionadas à web: Java relativamente simples e orientada para objetos, foi criada com a ideia de revolucionar as linguagens de programação (PACIEVITCH, 2011); PHP muito importante para o desenvolvimento de aplicativos web, cada vez mais toma conta dos websites (PACIEVITCH, 2011). Os paradigmas da programação foram estabelecidos, na maioria, na década de A programação está em todos os equipamentos eletrônicos atuais. Cada programa, cada página na internet vem escrita em alguma linguagem de programação. A programação passou rapidamente por um grande processo de transformação. Com o tempo, as linguagens se foram unindo, ficando mais fortes e com mais funções (PACIEVITCH, 2011). Segundo este autor, as linguagens estão ficando cada vez mais fáceis de interpretar e escrever, porém há necessidade crescente de auditar os códigos escritos pelos desenvolvedores, principalmente diante do grande número de fraudes e vulnerabilidades identificadas posteriormente ao processo ser implantado em produção. Normalmente as empresas auditam o código somente após alguma fraude ter ocorrido, e os desenvolvedores não são treinados para tratar a segurança como item relevante na fase de construção.

5 Auditoria de código-fonte: uma abordagem focada na qualidade do software 5 Acompanhando a evolução das linguagens de programação, vieram junto bugs, vulnerabilidades, falhas e consequentemente a necessidade de normas para melhorar a qualidade do software. Uma das primeiras normas, de outubro de 1946, foi a ISO/IEC (KOSCIANSKI; SOARES, 2006). Para que uma auditoria possa ser conduzida de forma eficiente, é de fundamental importância que o auditor conheça a linguagem de programação que está sendo auditada para que possa compreender as vulnerabilidades encontradas. A utilização da ferramenta de análise serve para ganhar escala, mas não garante a cobertura necessária para uma identificação de todas as vulnerabilidades e falhas. 3 AUDITORIA 3.1 Definição de auditoria de sistemas de informação Para (OLIVEIRA, 2006), Auditoria de Sistemas de Informação é, a revisão dos sistemas de informação, para verificar se realizam as funções e operações para as quais foram criadas, assim como comprovar se os dados e demais informações neles contidos correspondem aos princípios de confiabilidade, integridade, precisão e disponibilidade. A auditoria em segurança da informação tem o papel de assegurar a qualidade da informação e participar do processo de garantia quanto a possíveis e indesejáveis problemas de falha humana (OLIVEIRA, 2006). 3.2 Objetivos da auditoria de sistemas são: Segundo Oliveira (2006), os objetivos da auditoria de sistemas de informação verificar a existência de medidas de controle interno aplicáveis, com caráter generalizado, a quaisquer sistemas de informação (SI) da instituição, entre organismos ou qualquer outro objeto de auditoria; avaliar a adequação do SI às diretrizes básicas de uma boa gestão informática;

6 Auditoria de código-fonte: uma abordagem focada na qualidade do software 6 oferecer uma descrição do SI com base em especificações funcionais e resultados que proporciona; verificar se a informação proporcionada pelo SI é confiável, integra e precisa; determinar se o SI atinge os objetivos para os quais foi desenhado, de forma eficaz e eficiente; propor recomendações oportunas para que o SI se adapte às diretrizes consideradas como essenciais para seu bom funcionamento. Para Oliveira (2006), o serviço de auditoria em código-fonte visa identificar possíveis ameaças e vulnerabilidades por meio de análise detalhada do código-fonte das aplicações. Dentro do contexto da segurança da informação, a auditoria de sistemas tem como objetivo garantir a qualidade do código visando assegurar que o código está em conformidade com as normas e padrões de mercado. 3.3 Objetivos globais da auditoria de sistemas A auditoria de sistemas aplicativos não só tem o objetivo de identificar os controles e avaliar os riscos de confidencialidade, privacidade, acuidade, disponibilidade, auditabilidade e manutenibilidade dos sistemas, mas também de concluir a respeito dos sistemas aplicativos classificados como chaves e das funções-chaves dos sistemas à consecução das missões empresarias. Os objetivos devem ser definidos em formas globais e específicas (IMONIANA, 2005). Segundo este autor, os objetivos globais referentes à auditoria de sistemas aplicativos são: i) integridade; ii) confidencialidade; iii) privacidade; iv) acuidade; v) disponibilidade; vi) auditabilidade; vii) versatilidade; viii) e manutenibilidade (IMONIANA, 2005). Para o autor (2005), especificamente, a auditoria de sistema aplicativo tem por objetivo certificar-se de que: a) as transações registradas nos sistemas são provenientes das operações normais da empresa;

7 Auditoria de código-fonte: uma abordagem focada na qualidade do software 7 b) as transações estejam corretamente contabilizadas nos sistemas, de conformidade com os princípios fundamentais emanados das legislações vigentes; c) os princípios sejam uniformemente aplicados nos sistemas, subsistemas e sistemas consolidadores, contas ou grupos de contas contábeis e ainda em relação aos exercícios anteriores; d) os controles independentes embutidos nos sistemas aplicativos sejam plenamente aplicados para certificar-se da consistência dos lançamentos, garantia dos processamentos e emissão dos relatórios que reflitam o resultado das transações; As ferramentas de controle de versões permitem que a auditoria de código seja feita com segurança ao exibir o histórico de modificações realizadas no códigofonte, dando maior segurança aos processos. 4 OWASP OPEN WEB APPLICATION SECURITY PROJECT Esta entidade sem fins lucrativos e de reconhecimento internacional contribui para a melhoria da segurança de softwares aplicativos reunindo informações importantes que permitem avaliar riscos de segurança e combater formas de ataques na internet (OWASP, 2012). O objetivo principal do Owasp é educar desenvolvedores, designers, arquitetos e organizações a respeito das consequências das vulnerabilidades mais comuns encontradas em aplicações web. O TOP 25 da Owasp provê métodos básicos para proteger as vulnerabilidades um ótimo começo para a codificação segura de um programa de segurança (OWASP, 2012). Uma iniciativa de codificação segura deve abordar todos os estágios do ciclo de vida do sistema. A Owasp auxilia na segurança da informação ao elencar o ranking das principais vulnerabilidades, servindo como guia de referência para a comunidade de desenvolvedores, tornando dessa forma o código mais seguro ao demonstrar exemplos de como corrigir vulnerabilidades (OWASP, 2012). No tópico 8 (estudo de caso), demonstra-se o ranking de vulnerabilidades da Owasp e a relação com uma ferramenta de análise de código estático.

8 Auditoria de código-fonte: uma abordagem focada na qualidade do software 8 5 SISTEMA DE CONTROLE DE VERSÕES 5.1 Definição Um sistema de controle de versão é um gerenciador de repositórios, como de um repositório de arquivos para o código-fonte de um programa em desenvolvimento. Esses sistemas possuem controle de acesso, permitindo auditar toda mudança feita no código-fonte. Podem-se obter diversas informações como: quem fez a alteração, por que foi feita e a identificação de problemas corrigidos ou melhorias introduzidas (5CQUALIBR, 2012) 5.2 Principais objetivos do PVCS para a segurança Segundo o 5CQUALIBR (2012), os principais objetivos de um PVCS são: visualizar as alterações efetuadas por determinado desenvolvedor em um arquivo-fonte; recuperar uma versão antiga de um arquivo-fonte com o objetivo de desfazer uma implantação ou de estudar a evolução do software; acompanhar o trabalho individual de cada um dos membros da equipe, identificando necessidades de treinamento, possibilitando o reconhecimento do bom trabalho e até punindo profissionais que ajam com má fé; montar versões antigas do software com fins de que hoje estejamos desenvolvendo uma versão bem mais evoluída em relação a anterior. 5.3 Utilidade Alguns problemas de desenvolvimento de software são causados por falta de controle de versão, como (5CQUALIBR, 2012): i) sobrescrever um código; ii) perder alterações; iii) faltar controle de alterações (quem fez, quando foi feito...); e iv) encontrar contradições e falhas nas versões

9 Auditoria de código-fonte: uma abordagem focada na qualidade do software Principais vantagens para auditoria do código Segundo (5CQUALIBR, 2012), as principais vantagens de utilizar um sistema de controle de versão para rastrear as alterações feitas durante o desenvolvimento de software ou o desenvolvimento de um documento de texto qualquer são: controle do histórico facilidade em desfazer e possibilidade de analisar o histórico do desenvolvimento, como também facilidade no resgate de versões mais antigas e estáveis. A maioria das implantações permite analisar as alterações com detalhes, desde a primeira versão até a última; trabalho em equipe um sistema de controle de versão permite que diversas pessoas trabalhem sobre o mesmo conjunto de documentos simultaneamente tempo e minimiza o desgaste provocado por problemas com conflitos de edições. É possível que a implantação também tenha um controle sofisticado de acesso para cada usuário ou grupo de usuários; marcação e resgate de versões estáveis a maioria dos sistemas permite marcar o local e quando o documento estava com versão estável, podendo ser facilmente resgatado no futuro; ramificação de projeto a maioria das implantações possibilita a divisão do projeto em várias linhas de desenvolvimento, que podem ser trabalhadas paralelamente, sem que uma interfira na outra. Abaixo, e relacionado alguns exemplos de sistemas de controle de versões: Bazaar (http://bazaar.canonical.com/en) Bitkeeper (http://www.bitkeeper.com) ClearCase (http://www.ibm.com/software/products/br/pt/clearcase) Concurrent Versions System (http://savannah.nongnu.org/projects/cvs) Git (http://git-scm.com) GNU arch (http://www.gnu.org/licenses/licenses.html#gpl) Mercurial (http://mercurial.selenic.com) Monotone (http://www.monotone.ca)

10 Auditoria de código-fonte: uma abordagem focada na qualidade do software 10 PVCS (http://www.serena.com/index. php/en/.../pvcs-vm) RCS (http://www.gnu.org/s/rcs) SCM (http://www.accurev.com) SVN (http://www.subversion.apache.org) LibreSource Synchronizer (http://www.libresource.org) Microsoft Visual SourceSafe (VSS) (http://www.microsoft.com) Rational ClearCase (www.ibm.com/software/products/br/pt/clearcase) Subversion (SVN) (http://subversion.apache.org) TortoiseSVN (http://tortoisesvn.net/) MediaWiki (http://www.mediawiki.org/wiki/mediawiki). 6 FERRAMENTA DE ANÁLISE DE CÓDIGO Segundo Braz (2007), as ferramentas de análise estática de código têm por objetivo examinar o código-fonte para identificar bugs e vulnerabilidades a partir de uma base de dados cadastrada previamente. Para Braz (2007), todas as ferramentas comerciais existentes se fundamentam no mesmo princípio, regras e padrões de codificação suspeitos. Isso as torna muito dependentes da ação humana. Num primeiro momento, para desenhar as regras a partir de muita pesquisa e, depois, para avaliar o resultado de uma análise de código. As ferramentas de análise de código fundamentam-se no Teorema de Rice, que diz que qualquer questão não trivial endereçada a um programa pode ser reduzido ao Problema de Halting, isso implica que os problemas de análise de código são insolúveis no pior caso e, por consequência, que essas ferramentas são obrigadas a fazer aproximação, cujo resultado é algo não perfeito (BRAZ, 2007). Os principais problemas das ferramentas de análise de código-fonte para segurança estão concentrados em (BRAZ, 2007): falso negativo o programa contém bugs não endereçados pela ferramenta. Isso dá a falsa sensação de que não existem bugs, mas na verdade significa que a ferramenta não foi capaz de encontrá-los;

11 Auditoria de código-fonte: uma abordagem focada na qualidade do software 11 falso positivo a ferramenta endereça bugs não existentes. Isso se refere a duas possibilidades: um erro propriamente dito, em que a ferramenta localizou um bug que não existe fisicamente, ou uma classificação da ferramenta incoerente com as variáveis do ambiente. Por exemplo, a ferramenta poderia encontrar um bug de SQL Injection, que na realidade não interessa para o software investigado pelas características de operação. Vale ressaltar que as ferramentas comerciais procuram reduzir o falso positivo, assumindo o custo de deixar passar falsos negativos (BRAZ, 2007) A seguir, exemplos de ferramentas de análise estática de código. Lint (http://en.wikipedia.org/wiki/lint_software) Splint (http://splint.org) PMD (http://pmd.sourceforge.net/) FindBugs (http://findbugs.sourceforge.net) Php-sat (http://www.program-transformation.org/php/phpsat) Ratscan (http://download.cnet.com/ratscan/ _ html) 6.1 FINDBUGS FindBugs é uma ferramenta de análise estática que examina o programa sem executá-lo, trata-se de uma auditória de código. Para isso, analisa-se o bytecode procurando padrões conhecidos. Ele não se limita a uma pesquisa por expressões regulares, mas tenta entender o que o programa quer fazer. É um projeto criado pela Universidade de Maryland (THIAGO, 2010). O FindBugs trabalha, basicamente, com as seguintes categorias de bug (THIAGO, 2010): corretude o código claramente parece estar fazendo algo que o desenvolvedor não pretendia. Por exemplo, referenciar um null pointer;

12 Auditoria de código-fonte: uma abordagem focada na qualidade do software 12 más práticas o código viola alguma boa prática. Por exemplo, sobrescrever o método equals () e não sobrescrever o método hashcode (); erros de concorrência por exemplo, problemas com wait/notify; potenciais problemas de desempenho por exemplo, chamadas ao construtor Integer em vez de chamar Integer. valueof (método construtor); vulnerabilidade de código malicioso por exemplo, métodos que não fazem cópia defensiva de argumentos antes de armazená-los em uma variável membro da classe. O FindBugs, assim como as demais ferramentas de análise de código, auxilia na auditoria de código-fonte ao identificar falhas e vulnerabilidades, tornando desta forma o software mais seguro. Para a segurança da informação é de grande importância a utilização de tais ferramentas para melhorar a qualidade do código, tornando-o mais seguro. 7 QUALIDADE DE SOFTWARE Um dos objetivos de implantar um processo de qualidade de software é estabelecer um processo que garanta e gerencie o nível de qualidade do produto e do processo de desenvolvimento. As empresas já entenderam que fabricar softwares não adequados, além de prejudicar a imagem da organização, aumenta significativamente os custos totais de desenvolvimento. Isso consome rentabilidade dos projetos de software, além de ampliar os riscos de insucesso dos projetos existentes (GUERRA; COLOMBO, 2009). Na verdade, softwares não adequados são sintomas da falta de controle do processo de desenvolvimento, e as grandes indústrias de software já perceberam isso. A cada ano mais informações, técnicas, metodologias, ferramentas e empresas especializam-se em assuntos cada vez mais voltados ao aprimoramento do processo de engenharia de software (GUERRA; COLOMBO, 2009).

13 Auditoria de código-fonte: uma abordagem focada na qualidade do software 13 Para estes autores, um dos mais importantes trabalhos de avaliação da maturidade organizacional de uma empresa de software foi produzido pelo Software Engineering Institute (SEI), centro de desenvolvimento e pesquisa patrocinado pelo Departamento de Defesa dos Estados Unidos e filiado à Universidade Carnegie e Mellon. Sua missão foi produzir um trabalho que possibilitasse às organizações aperfeiçoar a qualidade do produtos finais, empregando o estado da arte no desenvolvimento de software (GUERRA; COLOMBO, 2009). O resultado do trabalho foi o modelo Capability Maturity Model Integration (CMMI), que tem como foco o processo de software na proposta de melhoria continua, trazendo disciplina e controle no desenvolvimento e manutenção do software. Essas seriam as chaves para aperfeiçoar a qualidade do desenvolvimento de produtos de software (GUERRA; COLOMBO, 2009). Pode-se definir qualidade de produto de software como a conformidade a requisitos funcionais e de desempenho declarados explicitamente, padrões de desenvolvimento claramente documentados e características implícitas que são esperadas de todo software desenvolvido profissionalmente. De acordo com a NBR ISO/IEC 9001:2008: Qualidade é a totalidade de requisitos e características de um produto ou serviço que estabelece a capacidade de satisfazer as necessidades explícitas e implícitas de um cliente. 7.1 Modelo CMMI O Capability Maturity Model Integration (CMMI) definido pelo Software Engineering Institute (SEI) descreve uma estrutura de trabalho que possui todos os elementos necessários para tornar um processo de desenvolvimento de software mais eficiente e controlado. O CMMI baseia-se em um modelo evolutivo de maturidade, no qual as organizações partem da total falta de controle e gerenciamento dos processos (imaturidade organizacional) para gradativamente adquirir novas competências, incrementando o nível de eficiência e maturidade em relação aos diversos processos críticos envolvidos em desenvolvimento de software (BARTIÉ, 2002). O modelo de processo CMMI baseia-se em cinco níveis de maturidade organizacional (Figura 1). Cada nível representa um estágio de maturidade dentro

14 Auditoria de código-fonte: uma abordagem focada na qualidade do software 14 do processo de desenvolvimento de software. Cada organização tem seu nível individual de maturidade, refletindo seu grau de controle sobre o processo como um todo. Bartié (2002) entende que nenhuma empresa consegue sair do nível 1 e chegar ao nível 3 sem antes passar pelo nível 2. Cada nível é um pré-requisito para o outro; e cada organização consegue enxergar somente o que sua maturidade permite. Apesar disso, as organizações podem usar de maneira vantajosa processos descritos em níveis de maturidade superiores aos que se encontram. Mudar de nível não e uma atividade simples, requer ruptura nos padrões culturais da organização. Quebrar velhos hábitos e rever processos de trabalho exige muito treinamento, envolvimento e dedicação, além de consumir trabalho dinheiro, ou seja, é um processo exigente e custoso. O CMMI para Desenvolvimento (CMMI-DEV) é um modelo de maturidade para melhoria de processos, destinado ao desenvolvimento de produtos e serviços composto pelas melhores práticas associadas a atividades de desenvolvimento e manutenção que cobrem o ciclo de vida do produto desde a concepção até a entrega e manutenção. Para Bartié (2002), na área de processos o CMMI prevê a necessidade de treinamento na organização (OT), para desenvolver as habilidades e o conhecimento das pessoas, de modo que possam desempenhar seu papel de forma eficiente e eficaz. A utilização de um processo automatizado de análise estática do código-fonte de forma automatizada melhora a qualidade do produto ao tornar obrigatória a análise estática do código, identificando vulnerabilidades, tornando o software seguro ao identificar e apresentar as falhas no código-fonte, atendendo dessa forma a este item do CMMI. Mais de 85% das organizações ainda está no nível 1, ou seja, produzindo software de forma desordenada e sem controles. À medida que o tempo vai passando, se as empresas não evoluírem na forma de pensar e agir, estarão condenadas a desaparecer. Para não passar a ideia de que o desafio de atingir o nível 5 é impossível, há algumas empresas que conseguiram atingir esse patamar organizacional. Parece que dar os primeiros passos é a tarefa mais complexa a ser realizada. (BRASIL,2012).

15 Auditoria de código-fonte: uma abordagem focada na qualidade do software 15 Figura 1 Níveis de maturidade do CMMI 7.2 A ABNT NBR ISO/IEC 27002:2005 e a qualidade do software A Associação Brasileira de Normas Técnicas (ABNT) ISO/IEC 27002:2005 tem a finalidade de garantir a continuidade dos negócios por meio da implantação de controles que minimize o risco de incidentes de segurança da informação e perda de informações valiosas para a empresa (ABNT, 2005). A seção 10 da norma trata do gerenciamento de operações e comunicação, e a seção 12 trata da aquisição, desenvolvimento e manutenção de sistemas de informação. A seguir são listados os itens relacionados à proteção contra códigos maliciosos e móveis e controle de acesso ao código-fonte de programa da ABNT ISO/IEC 27002:2005 com as diretrizes para implantação. Proteção contra códigos maliciosos e códigos móveis (10.4). Objetivo: proteger a integridade do software e da informação. Precauções são requeridas para prevenir e detectar a introdução de códigos maliciosos e móveis não autorizados. Os recursos de processamento da informação e os softwares são vulneráveis à introdução de código malicioso, tais como vírus de computador, worms de rede, cavalos-de-troia e bombas lógicas4. Convém que os usuários estejam conscientes 4 Bombas lógicas são dispositivos programados cuja detonação ocorre em um momento determinado explorando a data do sistema, o lançamento de um comando ou qualquer recurso. Esse tipo de vírus é capaz de se ativar em um momento preciso num grande número de máquinas (fala-se então de bomba de retardamento, ou bomba temporal).

16 Auditoria de código-fonte: uma abordagem focada na qualidade do software 16 dos perigos do código malicioso e que os gestores, quando apropriado, implantem controles para prevenir, detectar e remover código malicioso e controlar códigos móveis. Controles contra códigos maliciosos (10.4.1). Controle convêm que sejam implantados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários. Diretrizes para implantação convém que a proteção contra códigos maliciosos seja baseada em softwares de detecção de códigos maliciosos e reparo, na conscientização da segurança da informação, no controle de acesso adequado e nos controles de gerenciamento de mudanças. Para tanto, convém que as seguintes diretrizes sejam consideradas: estabelecer uma política formal proibindo o uso de softwares não autorizados; estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares, seja de redes externas, seja por qualquer outro meio, indicando quais medidas preventivas devam ser adotadas; conduzir análises criticas regulares dos softwares e dados dos sistemas que suportam processos críticos de negócio. Convém que a presença de quaisquer arquivos não aprovados ou atualização não autorizada seja formalmente investigada; instalar e atualizar regularmente softwares de detecção e remoção de códigos maliciosos para o exame de computadores e mídias magnéticas, de forma preventiva ou de forma rotineira. Convém realizar: verificação, antes de uso, da existência de códigos maliciosos nos arquivos em mídias óticas ou eletrônicas, bem como nos arquivos transmitidos através de redes;

17 Auditoria de código-fonte: uma abordagem focada na qualidade do software 17 verificação da existência de códigos maliciosos em páginas web; procedimentos para regularmente coletar informações, tais como, assinaturas de listas de discussão e visitas a sites sobre códigos maliciosos; procedimentos para verificação de informação relacionada a códigos maliciosos e garantia de que os boletins com alertas sejam precisos e informativos. Convém que os gestores garantam que fontes qualificadas, como, por exemplo, jornais com reputação idônea, sites confiáveis ou fornecedores de software de proteção contra códigos maliciosos, sejam utilizadas para diferenciar boatos de noticias reais sobre códigos maliciosos. Convém que todos os usuários estejam cientes dos problemas decorrentes de boatos e capacitados a lidar com eles; convém que seja tomado cuidado quanto a possível introdução de códigos maliciosos durante manutenções e quando estão sendo realizados procedimentos de emergência. Tais procedimentos podem ignorar controles normais de proteção contra códigos maliciosos. Controle de acesso ao código-fonte de programa (12.4.3) Controle convém que o acesso ao código-fonte de programa seja restrito Diretrizes para implantação Convém que o acesso ao código-fonte de programa e de itens associados (como desenhos, especificações, planos de verificação e de validação) seja estritamente controlado com a finalidade de prevenir a introdução de funcionalidade não autorizada e para evitar mudanças não intencionais. Dentro do contexto da segurança da informação, a ISO/IEC 27002:2005 orienta sobre a necessidade de atualização de fontes idôneas sobre código malicioso. Neste artigo sugere-se a utilização da Owasp, que é uma fonte segura para atualização sobre as vulnerabilidades, dessa forma, ao incrementar regras nas ferramentas de análise para checar às vulnerabilidades, este item da norma é

18 Auditoria de código-fonte: uma abordagem focada na qualidade do software 18 atendido parcialmente, pois para tornar o software seguro são necessárias muitas outras ações, por isso neste ponto se estão focando somente as vulnerabilidades do código-fonte. 7.3 ISO/IEC 9000:2000 para desenvolvimento de Software A International Organization for Standardization (ISO) é uma organização internacional responsável por produzir normas e padrões adotados por alguns países: no Brasil, algumas das normas definidas pela Associação Brasileira de Normas Técnicas (ABNT) são baseadas nas normas publicadas pela ISO. O conjunto de normas ISO/IEC 9000:2000 trata especificamente de sistemas de qualidade e está na 3ª versão (ISO/IEC 9000:2000), publicada no ano 2000 (FOINA, 2006). Segundo Foina (2006), a ISO/IEC 9000:2000 é composta pelas seções abaixo: ISO/IEC 9000:2000 Sistema de Gerenciamento de Qualidade: traz os conceitos fundamentais e terminologia usada em todas as demais seções. ISO/IEC 9001:2000 Sistema de Gerenciamento de Qualidade: requisitos para ser usados em qualquer tipo de organização que projete, desenvolva, construa, instale qualquer tipo de produto ou serviço. Define um conjunto de requisitos que as organizações devem cumprir para conseguir elevado nível de satisfação dos clientes. ISO/IEC 9004:2000 Sistema de Gerenciamento de Qualidade: roteiros para o incremento do desempenho e da maturidade do sistema de qualidade. A norma ISO/IEC é uma versão da ISO/IEC 9000:2000 específica para empresas de desenvolvimento de software. O foco dessa norma (que é uma das mais utilizadas do conjunto 9000) é a qualidade percebida pelo cliente. Está fortemente baseada na ISO IEC 12207:2008 (ciclo de vida de software), (avaliação de processo) e 9126 (avaliação de produto). Para Foina (2006), a convivência da ISO/IEC com CMMI é possível e bastante frequente, pois boa parte das exigências para essas certificações é muito próxima, o que reduz os custos de obtê-las.

19 Auditoria de código-fonte: uma abordagem focada na qualidade do software 19 A auditoria de código utilizando ferramentas de controle de versões aliadas às de análise de código garantem a melhoria do código atendendo às necessidades referentes a qualidade citadas nesta ISO. 7.4 COBIT 4.1 O Cobit 4.1 sugere os seguinte controles para o software: DS5 Garantir a Segurança dos Sistemas; DS 5.9 Prevenção, Detecção e Correção de Software Malicioso. Assegurar que medidas preventivas, de detecção e corretivas sejam estabelecidas corporativamente, em especial correções de segurança (patches) e controles de vírus, para proteger os sistemas de informação e tecnologias contra malwares (vírus, worms, spyware, spam). Com a integração das ferramentas de análise estática nos sistemas de controle de versões, os itens DS5 e DS 5.9 são atendidos de forma automatizada, prevendo inclusive a geração de relatórios de auditoria para demonstrar falhas identificadas antes de o software entrar no ambiente produtivo. 7.5 ISO/IEC IEC 12207:2008 Um dos própositos desta norma é definir um linguajar comum em meio ao grande número de métodos, técnicas, modelos e normas que tratam da qualidade. Ao fazê-lo, esta norma cobre todo o ciclo de vida, de requisitos até a manutenção e retirada de uso de um produto, além de outros processos associados, com a aquisição de componentes de terceiros (KOSCIANSKI; SOARES, 2006). Segundo estes autores, a estrutura da norma foi concebida para ser modular e adaptável às necessidades dos interessados em utilizá-la. Os processos são classificados em três categorias (KOSCIANSKI; SOARES, 2006): Primários processos básicos que se relacionam aos produtos de software; de apoio os processos desta categoria têm lugar, em geral, depois que um processo primário é iniciado. Exemplos são revisões, auditorias e solução de problemas;

20 Auditoria de código-fonte: uma abordagem focada na qualidade do software 20 organizacionais processos que dizem respeito à operação da organização em si, tais como gestão e treinamentos. A aplicação desta norma à segurança da informação é nos processos de apoio, que prevê a auditoria e a revisão, com a integração das ferramentas de controle de versões e análise de código, desta forma, a conformidade com esta norma estaria atendida neste quesito. 7.6 ISO/IEC 15504:2008 Segundo Koscianski e Soares (2006, p. 157), esta norma apresenta uma estrutura para a realização de avaliações de processos em organizações e pode ser aplicada em situações como de uma empresa que busca melhorias internas e em avaliação de terceiros ao realizar contratos de prestação de serviços ou fornecimento de produtos. A norma ISO IEC 15504:2003 remonta ao ano de 1991, quando o JTC1 iniciou estudo sobre a necessidade de uma norma para avaliação de processos de software. Em 1993, teve início o projeto Software Process Improvement and Capability determination (Spice), com três objetivos básicos: auxiliar no início do projeto de norma a execução de testes de campo para obter dados de experiências práticas e despertar o mercado para o surgimento da futura norma. A norma ISO/IEC 15504:2003 pode ser aplicada com dois objetivos: melhoramento ou avaliação de processos. Em ambos os casos, três elementos devem ser precisamente definidos: os processos, uma métrica e um método de medição. Na segurança da informação, esta norma pode melhorar os processos pela integração das ferramentas de análise com os sistemas de controle de versões, ao tornar essa prática de forma automática, para que o código fique mais seguro. 8 ESTUDO DE CASO são: As ferramentas utilizadas para a construção de um software normalmente editor de texto para digitação do código-fonte;

21 Auditoria de código-fonte: uma abordagem focada na qualidade do software 21 depuradores para depuração do código; compiladores; ferramenta de controle de versão para controle de alterações; analisador de código-fonte para ajudar a encontrar falhas de segurança. 8.1 Ferramenta de controle de versão Na Figura 2 é exibida a tela principal do sistema de controle de versões (PVCS: Serena Dimensions), com a sugestão proposta neste artigo, integrando-o à ferramenta de análise de código estática. Auditoria Regras de validação Incluir Consultar Alterar Excluir Imprimir Relatório Figura 2 PVCS: sugestão de integração com auditoria Na Figura 3 são exibidos os processo tratados neste artigo. Foram mapeados todos os processo relacionados que tratam de vulnerabilidades, construção e qualidade de software, sendo que nas fases de um processo de software no PVCS é sugerido o ponto no qual a integração da ferramenta de análise de código deve ser incluída.

22 Auditoria de código-fonte: uma abordagem focada na qualidade do software 22 TCC - Auditoria de Código Fonte 0 1 r Framework - Qualidade do Software aplicando as normas ISO/IEC 12207:2008 Ciclo de desenvolvimento de Software Qualidade de Software Vulnerabilidades OWASP ISO/IEC 27002/2005 CVS - Version Control System Controle de versões Ferramenta Análise de código Cobit 4.1 ISO/IEC Níveis de maturidade Auditoria ISO 9000 CMMI Figura 3 Proposta de Framework A proposta é que, ao integrar a ferramenta de análise de código com a ferramenta de controle de versões, o processo transforme-se em um framework de processos, tornando-se um passo obrigatório na construção de software, mitigando as principais vulnerabilidades, além de outros erros, conforme visto no tópico 6.1 (FindBugs). A integração do FindBugs com o Serena Dimensions já e possível através da utilização de plugins, 5 porém a utilização de plugins e opcional. A proposta do framework é que esta regra seja aplicada para qualquer sistema de controle de versões a ser adotado para o controle de código, integrando-o de forma automática com a ferramenta de análise de código. ISO/IEC 12207:2008 conforme demonstrado no tópico 7.5, a conformidade com esta norma está sendo atendida no item De apoio neste caso, a auditoria de forma automatizada melhora a segurança do software e consequentemente sua qualidade. ISO/IEC 27002:2005 conforme demonstrado no item 7.2, esta norma prevê que sejam desenvolvidos controles contra códigos maliciosos. Ao integrar os processos, este item é atendido de forma automática ao 5 Plugin é um programa, ferramenta ou extensão que se encaixa a outro programa principal para adicionar mais funções e recursos.

23 Auditoria de código-fonte: uma abordagem focada na qualidade do software 23 identificar possíveis vulnerabilidades que possam vir a ser implantadas dentro do código-fonte. ISO/IEC 15504:2003 a melhoria dos processos prevista por esta norma, conforme consta no item 7.6, é executada de forma automatizada, já que a rotatividade de desenvolvedores não impacta em novos treinamentos. ISO 9000 O framework proposto atende às necessidades de qualidade, conforme item 7.3, já que o cliente consegue perceber a qualidade dos softwares no quesito segurança. Qualidade de software qualidade é um dos objetivos principais da integração das ferramentas de análise de código com as de controle de versões. O atendimento ao requisitos do cliente está sendo automatizado com segurança. Vulnerabilidades Owasp a Owasp serve como referência para parametrização das ferramentas de análise. O framework está sempre atualizado com as principais vulnerabilidades identificadas na Owasp. Cobit 4.1 com o framework controlando os processos, a conformidade com o controle DS 5.9 torna-se de forma automática ao implantar medidas preventivas de auditoria de código e análise do código. Auditoria o processo de auditoria fica transparente, já que a adoção da ferramenta de controle de versões armazena todo o histórico de modificações e a ferramenta de análise de código protege os sistemas contra a implantação de vulnerabilidades conhecidas e parametrizadas na ferramenta. CMMI-Dev O desenvolvimento de software torna-se mais eficiente e controlado de forma automatizada, dando mais segurança aos sistemas entregues ao cliente. Controle de versões conforme citado no tópico 5, a utilização de sistemas de controle de versões permite gerenciar todo o código-fonte ao armazenar o ciclo de vida completo do software. A auditoria é feita de forma transparente. Ferramentas de análise de código conforme citado no tópico 6, ao examinar o código-fonte, as vulnerabilidades são identificadas na fase que antecede a implantação do código no ambiente de produção. A

24 Auditoria de código-fonte: uma abordagem focada na qualidade do software 24 segurança e a auditoria são feitas de forma automatizada e com maior eficiência ao adotar o framework de processos. 8.2 Analisador de código-fonte Neste tópico será demonstrada a utilização da ferramenta FindBugs (MARYLAND, 2012), analisando-se o bytecode na linguagem de programação Java e identificando falhas em programas, conforme itens citados no tópico 6.1 (FindBugs). O objetivo do analisador de código-fonte não é identificar erros de sintaxe de programação, mas sim possíveis falhas de segurança e vulnerabilidades existentes, além de sugestão de desempenho do código. Os editores já tratam os erros de sintaxe, portanto, neste ponto se parte do princípio que há um código já compilado com os erros de sintaxe corrigido. Figura 4 Tela de parametrização do FindBugs Passo 1: seleciona-se no menu opções File New Project Informe o nome do projeto (Figura 4, acima). No boxe classpath for analysis informe o nome de um programa, um diretório ou os objetos a ser analisados (no exemplo abaixo se está analisando todos os diretórios para demonstrar o funcionamento). Em seguida

25 Auditoria de código-fonte: uma abordagem focada na qualidade do software 25 clique em Análise. O FindBugs pesquisa por todos os objetos Java dentro dos diretórios selecionados. Figura 5 Pesquisando e analisando objetos Passo 2: O processo de análise esta em execução (Figura 5, acima). Figura 6 Resultado da análise Passo 3: Resultado da pesquisa observa-se que foram encontrados dentro dos objetos pesquisados 545 com algum tipo de Bug, sendo que 152 tem código considerado malicioso com vulnerabilidades identificadas (Figura 6).

26 Auditoria de código-fonte: uma abordagem focada na qualidade do software 26 Figura 7 Detalhe de uma vulnerabilidade de segurança Passo 4: foi encontrada uma vulnerabilidade prevista no Owasp (Figura 7), sendo apresentados ao lado os detalhes com sugestão para correção. Figura 8 Página do FindBugs com detalhes da vulnerabilidade Passo 5: ao clicar no link do passo anterior, é aberto outro link com detalhes da vulnerabilidade na página do FindBugs (Figura 8, acima); esta vulnerabilidade está no topo da lista de vulnerabilidades (Quadro 1), cross site scripting (XSS). Na tabela 1, abaixo, demonstra-se o ranking das vulnerabilidades em 2007 pela Owasp, na coluna identifica é marcado qual vulnerabilidade o FindBugs consegue identificar.

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Conviso Security Training Ementa dos Treinamentos

Conviso Security Training Ementa dos Treinamentos Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Qualidade de Processo de Software Normas ISO 12207 e 15504

Qualidade de Processo de Software Normas ISO 12207 e 15504 Especialização em Gerência de Projetos de Software Qualidade de Processo de Software Normas ISO 12207 e 15504 Prof. Dr. Sandro Ronaldo Bezerra Oliveira srbo@ufpa.br Qualidade de Software 2009 Instituto

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Qualidade de software

Qualidade de software Faculdade de Ciências Sociais e Aplicadas de Petrolina - FACAPE Curso: Ciência da Computação Disciplina:Projeto de Sistemas Qualidade de software cynaracarvalho@yahoo.com.br Qualidade de software Qualidade

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Cumprindo as exigências 6.6 do PCI DSS

Cumprindo as exigências 6.6 do PCI DSS Cumprindo as exigências 6.6 do PCI DSS Em abril de 2008, o Conselho de Padrões de Segurança (SSC, na sigla em inglês) do Setor de Cartões de Pagamento (PCI, na sigla em inglês) publicou um esclarecimento

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 1 CobIT Modelo abrangente aplicável para a auditoria e controle de processo de TI, desde o planejamento da tecnologia até a monitoração e auditoria de

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Avaliação de Vulnerabilidades. O que eu preciso saber?

Avaliação de Vulnerabilidades. O que eu preciso saber? Avaliação de Vulnerabilidades O que eu preciso saber? Mito 1 Estamos protegidos, já possuímos um bom firewall e também sistemas IDS/IPS. Realidade A implementação dessas ferramentas muitas vezes levam

Leia mais

Qualidade de Software

Qualidade de Software Rafael D. Ribeiro, M.Sc. rafaeldiasribeiro@gmail.com http://www.rafaeldiasribeiro.com.br A expressão ISO 9000 (International Organization for Standardization) designa um grupo de normas técnicas que estabelecem

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Proposta de Implementação de Qualidade de Software na Organização

Proposta de Implementação de Qualidade de Software na Organização Proposta de Implementação de Qualidade de Software na Organização Daniel Gonçalves Jacobsen 1 Faculdade Dom Bosco de Porto Alegre Porto Alegre RS Brasil daniel@flete.com.br Abstract. This article describes

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Weber Ress weber@weberress.com

Weber Ress weber@weberress.com Weber Ress weber@weberress.com SDL Security Development Lifecycle SD 3 +C Security by Design Security by Default Security in Deployment Communications SDL Processo de desenvolvimento clássico Processo

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

Políticas de Qualidade em TI

Políticas de Qualidade em TI Políticas de Qualidade em TI Prof. www.edilms.eti.br edilms@yahoo.com Aula 04 ISOs / IEC 12207 15504 9001 9126 25000 Agenda Descrição sumária da ISOs afetas ao nosso curso de qualidade ISO/IEC 12207 ISO/IEC

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Prof. Dr. Ivanir Costa. Unidade III QUALIDADE DE SOFTWARE

Prof. Dr. Ivanir Costa. Unidade III QUALIDADE DE SOFTWARE Prof. Dr. Ivanir Costa Unidade III QUALIDADE DE SOFTWARE Normas de qualidade de software - introdução Encontra-se no site da ABNT (Associação Brasileira de Normas Técnicas) as seguintes definições: Normalização

Leia mais

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo.

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo. Gerenciamento de segurança on-line White paper Dezembro de 2007 As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns Página 2 Conteúdo 2 Introdução 3 Compreendendo ataques

Leia mais

Estudo de Caso da Implantação do Nível G do MPS.BR em Uma Empresa

Estudo de Caso da Implantação do Nível G do MPS.BR em Uma Empresa Estudo de Caso da Implantação do Nível G do MPS.BR em Uma Empresa Dayana Henriques Fonseca 1, Frederico Miranda Coelho 1 1 Departamento de Ciência da Computação Universidade Presidente Antônio Carlos (UNIPAC)

Leia mais

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development Segurança no Desenvolvimento de Aplicações Web Security in Web Applications Development Jonas Alves de Oliveira 1 Leonardo Luiz Teodoro Campos 2 Cristiano Antônio Rocha Silveira Diniz 3 Resumo: Este artigo

Leia mais

Qualidade de Software. Prof. Natália Oliveira M.Sc queiroz.nati@gmail.com

Qualidade de Software. Prof. Natália Oliveira M.Sc queiroz.nati@gmail.com Qualidade de Software Prof. Natália Oliveira M.Sc queiroz.nati@gmail.com Ementa Conceitos sobre Qualidade Qualidade do Produto Qualidade do Processo Garantida da Qualidade X Controle da Qualidade Conceitos

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

Gerência de Configuração. Professor: Dr. Eduardo Santana de Almeida Universidade Federal da Bahia esa@dcc.ufba.br

Gerência de Configuração. Professor: Dr. Eduardo Santana de Almeida Universidade Federal da Bahia esa@dcc.ufba.br Gerência de Configuração Professor: Dr. Eduardo Santana de Almeida Universidade Federal da Bahia esa@dcc.ufba.br Introdução Mudanças durante o desenvolvimento de software são inevitáveis: os interesses

Leia mais

Consulte a parte de trás para obter informações sobre instalação rápida.

Consulte a parte de trás para obter informações sobre instalação rápida. Guia do Usuário Consulte a parte de trás para obter informações sobre instalação rápida. Protegemos mais usuários contra ameaças on-line do que qualquer outra empresa no mundo. Cuidar de nosso meio ambiente,

Leia mais

Sistemas de Informação Empresarial

Sistemas de Informação Empresarial Sistemas de Informação Empresarial Governança de Tecnologia da Informação parte 2 Fonte: Mônica C. Rodrigues Padrões e Gestão de TI ISO,COBIT, ITIL 3 International Organization for Standardization d -

Leia mais

Padrões de Qualidade de Software e Métricas de Software

Padrões de Qualidade de Software e Métricas de Software Universidade Federal do Vale do São Francisco Padrões de Qualidade de Software e Métricas de Software Engenharia de Software I Aula 3 e 4 Ricardo Argenton Ramos Agenda da Aula Introdução (Qualidade de

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

Prof. Jefferson Costa www.jeffersoncosta.com.br

Prof. Jefferson Costa www.jeffersoncosta.com.br Prof. Jefferson Costa www.jeffersoncosta.com.br Preservação da: confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatidão

Leia mais

Qualidade de Software: Visão Geral

Qualidade de Software: Visão Geral Qualidade de Software: Visão Geral Engenharia de Software 1 Aula 05 Qualidade de Software Existem muitas definições de qualidade de software propostas na literatura, sob diferentes pontos de vista Qualidade

Leia mais

GARANTIA DA QUALIDADE DE SOFTWARE

GARANTIA DA QUALIDADE DE SOFTWARE GARANTIA DA QUALIDADE DE SOFTWARE Fonte: http://www.testexpert.com.br/?q=node/669 1 GARANTIA DA QUALIDADE DE SOFTWARE Segundo a NBR ISO 9000:2005, qualidade é o grau no qual um conjunto de características

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Processo de Software

Processo de Software Processo de Software Uma importante contribuição da área de pesquisa de processo de software tem sido a conscientização de que o desenvolvimento de software é um processo complexo. Pesquisadores e profissionais

Leia mais

1 Introdução 1.1. Segurança em Redes de Computadores

1 Introdução 1.1. Segurança em Redes de Computadores 1 Introdução 1.1. Segurança em Redes de Computadores A crescente dependência das empresas e organizações modernas a sistemas computacionais interligados em redes e a Internet tornou a proteção adequada

Leia mais

Universidade Paulista

Universidade Paulista Universidade Paulista Ciência da Computação Sistemas de Informação Gestão da Qualidade Principais pontos da NBR ISO/IEC 12207 - Tecnologia da Informação Processos de ciclo de vida de software Sergio Petersen

Leia mais

Qualidade de. Software. Definições. Qualidade do Produto ISO 9126. Processo de. Software. Modelo de Processo de. Software CMM SPICE ISO 12207

Qualidade de. Software. Definições. Qualidade do Produto ISO 9126. Processo de. Software. Modelo de Processo de. Software CMM SPICE ISO 12207 Qualidade de : Visão Geral ISO 12207: Estrutura s Fundamentais Aquisição Fornecimento s de Apoio Documentação Garantia de Qualidade Operação Desenvolvimento Manutenção Verificação Validação Revisão Conjunta

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

Uma Implementação do Processo de Garantia da Qualidade usando a Spider-QA, a Spider-CL e o Mantis

Uma Implementação do Processo de Garantia da Qualidade usando a Spider-QA, a Spider-CL e o Mantis Uma Implementação do Processo de Garantia da Qualidade usando a Spider-QA, a Spider-CL e o Mantis Rodrigo Araujo Barbalho 1, Marília Paulo Teles 2, Sandro Ronaldo Bezerra Oliveira 1,2 1 Faculdade de Computação

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

Soluções de Segurança da Informação para o mundo corporativo

Soluções de Segurança da Informação para o mundo corporativo Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias rafael@clavis.com.br Conceitos

Leia mais

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

ESET NOD32 ANTIVIRUS 6

ESET NOD32 ANTIVIRUS 6 ESET NOD32 ANTIVIRUS 6 Microsoft Windows 8 / 7 / Vista / XP / Home Server Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento O ESET NOD32 Antivirus fornece

Leia mais

ESET NOD32 ANTIVIRUS 9

ESET NOD32 ANTIVIRUS 9 ESET NOD32 ANTIVIRUS 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento O ESET NOD32 Antivirus fornece

Leia mais

J820. Integração Contínua. com CVS, CruiseControl, Cruise Control. argonavis.com.br. AntHill Gump e Helder da Rocha (helder@acm.

J820. Integração Contínua. com CVS, CruiseControl, Cruise Control. argonavis.com.br. AntHill Gump e Helder da Rocha (helder@acm. J820 Integração Contínua com CVS, CruiseControl, Cruise Control AntHill Gump e Helder da Rocha (helder@acm.org) Integração contínua Um dos requisitos para implementar a integração contínua é ter um sistema

Leia mais

COBIT FOUNDATION - APOSTILA DE RESUMO

COBIT FOUNDATION - APOSTILA DE RESUMO COBIT FOUNDATION - APOSTILA DE RESUMO GOVERNANÇA DE TI O QUE É GOVERNANÇA DE TI É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias

Leia mais

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov. TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008 Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.br 11 3104-0988 Este treinamento tem por objetivo capacitar os participantes para

Leia mais

Cartilha de Segurança para Internet Checklist

Cartilha de Segurança para Internet Checklist Cartilha de Segurança para Internet Checklist NIC BR Security Office nbso@nic.br Versão 2.0 11 de março de 2003 Este checklist resume as principais recomendações contidas no documento intitulado Cartilha

Leia mais

Universidade Federal de Goiás Centro de Recursos Computacionais - CERCOMP Divisão de Sistemas. Criação de uma Serviço de Geração de Relatórios

Universidade Federal de Goiás Centro de Recursos Computacionais - CERCOMP Divisão de Sistemas. Criação de uma Serviço de Geração de Relatórios Universidade Federal de Goiás Centro de Recursos Computacionais - CERCOMP Divisão de Sistemas Criação de uma Serviço de Geração de Relatórios Goiânia 12/2011 Versionamento 12/12/2011 Hugo Marciano... 1.0

Leia mais

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software Prof. Leonardo Lemes Fagundes A educação faz com que as pessoas sejam fáceis de guiar, mas difíceis de arrastar; fáceis de governar,

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

2 Medição e Acompanhamento

2 Medição e Acompanhamento 2 Medição e Acompanhamento Para verificar a eficácia da aplicação da técnica de desenvolvimento dirigido por testes, foram usadas algumas métricas para determinar se houve melhoria ou degradação no processo

Leia mais

ESET NOD32 ANTIVIRUS 8

ESET NOD32 ANTIVIRUS 8 ESET NOD32 ANTIVIRUS 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

ESET SMART SECURITY 7

ESET SMART SECURITY 7 ESET SMART SECURITY 7 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

Modelos de Qualidade de Produto de Software

Modelos de Qualidade de Produto de Software CBCC Bacharelado em Ciência da Computação CBSI Bacharelado em Sistemas de Informação Modelos de Qualidade de Produto de Software Prof. Dr. Sandro Ronaldo Bezerra Oliveira srbo@ufpa.br www.ufpa.br/srbo

Leia mais

14 Os principais documentos de um projeto são: o termo de. 15 Elemento integrante do gerenciamento do escopo do projeto,

14 Os principais documentos de um projeto são: o termo de. 15 Elemento integrante do gerenciamento do escopo do projeto, De acordo com o comando a que cada um dos itens de 1 a 70 se refira, marque, na folha de respostas, para cada item: o campo designado com o código C, caso julgue o item CERTO; ou o campo designado com

Leia mais

No que se refere a conceitos básicos do gerenciamento de projetos, segundo o PMBoK, julgue os itens a seguir.

No que se refere a conceitos básicos do gerenciamento de projetos, segundo o PMBoK, julgue os itens a seguir. De acordo com o comando a que cada um dos itens de 1 a 70 se refira, marque, na folha de respostas, para cada item: o campo designado com o código C, caso julgue o item CERTO; ou o campo designado com

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

QUALIDADE DE SOFTWARE AULA N.7

QUALIDADE DE SOFTWARE AULA N.7 QUALIDADE DE SOFTWARE AULA N.7 Curso: SISTEMAS DE INFORMAÇÃO Disciplina: Qualidade de Software Profa. : Kátia Lopes Silva 1 CMM: DEFINIÇÃO Capability Maturity Model Um modelo que descreve como as práticas

Leia mais

Gerenciamento de Qualidade

Gerenciamento de Qualidade UNIVERSIDADE ESTADUAL PAULISTA INSTITUTO DE BIOCIÊNCIAS, LETRAS E CIÊNCIAS EXATAS DEPARTAMENTO DE CIÊNCIAS DE COMPUTAÇÃO E ESTATÍSTICA Gerenciamento de Qualidade Engenharia de Software 2o. Semestre de

Leia mais

Principais Vantagens do Microsoft Visual Studio Team System

Principais Vantagens do Microsoft Visual Studio Team System Principais Vantagens do Microsoft Visual Studio Team System White Paper Novembro de 2008 Para obter as últimas informações, visite o site www.msdnbrasil.com.br/vstudio As informações contidas neste documento

Leia mais

PSQT Prêmio SESI Qualidade no Trabalho

PSQT Prêmio SESI Qualidade no Trabalho ANEXO II PSQT Prêmio SESI Qualidade no Trabalho Manutenção Evolutiva Modelo: 4.0 Sistema Indústria, 2008 Página 1 de 18 Histórico da Revisão Data Descrição Autor 06/12/2007 Necessidades para atualização

Leia mais

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guia de Inicialização Rápida

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guia de Inicialização Rápida Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guia de Inicialização Rápida O ESET Smart Security fornece proteção de última geração para o seu computador contra código malicioso. Com base no ThreatSense,

Leia mais

PROPOSTA TÉCNICA/PLANILHA DE AVALIAÇÃO (com Alteração 01)

PROPOSTA TÉCNICA/PLANILHA DE AVALIAÇÃO (com Alteração 01) CONCORRÊNCIA DIRAD/CPLIC Nº 001/2010 ANEXO II 1 PROPOSTA TÉCNICA/PLANILHA DE AVALIAÇÃO (com Alteração 01) I - Atestados, certidões e comprovantes I.1 Todos os documentos, atestados e certificados deverão

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

FERRAMENTAS PARA DESENVOLVIMENTO EM C#

FERRAMENTAS PARA DESENVOLVIMENTO EM C# FERRAMENTAS PARA DESENVOLVIMENTO EM C# Camila Sanches Navarro 1,2, Wyllian Fressatti 2 ¹Universidade paranaense (Unipar) Paranavaí PR Brasil sanchesnavarro@gmail.com wyllian@unipar.br Resumo. Este artigo

Leia mais

Qualidade de Software

Qualidade de Software Qualidade de Software Introdução Qualidade é um dos principais objetivos da Engenharia de Software. Muitos métodos, técnicas e ferramentas são desenvolvidas para apoiar a produção com qualidade. Tem-se

Leia mais

Ferramenta de apoio a gerência de configuração de software. Aluno: Rodrigo Furlaneto Orientador: Everaldo Artur Grahl

Ferramenta de apoio a gerência de configuração de software. Aluno: Rodrigo Furlaneto Orientador: Everaldo Artur Grahl Ferramenta de apoio a gerência de configuração de software Aluno: Rodrigo Furlaneto Orientador: Everaldo Artur Grahl Roteiro de apresentação Introdução Objetivos Fundamentação Teórica Gerência de Configuração

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Capítulo 1: Introdução...3

Capítulo 1: Introdução...3 F-Secure Anti-Virus for Mac 2014 Conteúdo 2 Conteúdo Capítulo 1: Introdução...3 1.1 O que fazer após a instalação...4 1.1.1 Gerenciar assinatura...4 1.1.2 Abrir o produto...4 1.2 Como me certificar de

Leia mais

LANDesk Security Suite

LANDesk Security Suite LANDesk Security Suite Proporcione aos seus ativos proteção integrada a partir de uma console única e intuitiva que integra múltiplas camadas de segurança. Aplique políticas de segurança à usuários e dispositivos

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA

ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA SUMÁRIO Apresentação ISO 14001 Sistema de Gestão Ambiental Nova ISO 14001 Principais alterações e mudanças na prática Estrutura de alto nível Contexto

Leia mais

Engenharia de Software Qualidade de Software

Engenharia de Software Qualidade de Software Engenharia de Software Qualidade de Software O termo qualidade assumiu diferentes significados, em engenharia de software, tem o significado de está em conformidade com os requisitos explícitos e implícitos

Leia mais

Desenvolvendo para WEB

Desenvolvendo para WEB Nível - Básico Desenvolvendo para WEB Por: Evandro Silva Neste nosso primeiro artigo vamos revisar alguns conceitos que envolvem a programação de aplicativos WEB. A ideia aqui é explicarmos a arquitetura

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

TERMO DE REFERÊNCIA TÍTULO: Termo de Referência para contratação de ferramenta case de AD. GECOQ Gerência de Controle e Qualidade 1/9

TERMO DE REFERÊNCIA TÍTULO: Termo de Referência para contratação de ferramenta case de AD. GECOQ Gerência de Controle e Qualidade 1/9 TÍTULO: ASSUNTO: GESTOR: TERMO DE REFERÊNCIA Termo de Referência para contratação de ferramenta case de AD DITEC/GECOQ Gerência de Controle e Qualidade ELABORAÇÃO: PERÍODO: GECOQ Gerência de Controle e

Leia mais

ESET SMART SECURITY 8

ESET SMART SECURITY 8 ESET SMART SECURITY 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

Garantia de Processo Leis de Lehman Manutenção de Softwares

Garantia de Processo Leis de Lehman Manutenção de Softwares Garantia de Processo Leis de Lehman Manutenção de Softwares Garantia de Processo Acidentes são eventos raros em sistemas críticos e pode ser impossível simulá-los durante testes de um sistema. Requisitos

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO E b o o k E x c l u s i v o SEGURANÇA DA INFORMAÇÃO P r i n c í p i o s e A p l i c ações Especialista em Serviços Gerenciados de S e g u r a n ç a de Perímetro Sumário Princípios Conceito P.3 Breve Histórico

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Centro Universitário de Volta Redonda - UniFOA Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro

Leia mais

Manual do Produto TIM Protect Família MANUAL DO PRODUTO. TIM Protect Família Versão 10.7

Manual do Produto TIM Protect Família MANUAL DO PRODUTO. TIM Protect Família Versão 10.7 MANUAL DO PRODUTO TIM Protect Família Versão 10.7 1 1 Índice 1 Índice... 2 2 TIM Protect Família... 4 2.1 Instalação do TIM Protect Família... 5 2.1.1 TIM Protect Família instalado... 7 2.2 Ativação do

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Gilberto Zorello (USP) gilberto.zorello@poli.usp.br Resumo Este artigo apresenta o Modelo de Alinhamento Estratégico

Leia mais

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança + Conformidade Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança e Conformidade via Software-as-a-Service (SaaS) Hoje em dia, é essencial para as empresas administrarem riscos de segurança

Leia mais