focada na qualidade do software Faculdade SENAC DF Pós-Graduação em Segurança da Informação RESUMO Brasília-DF 2013 ABSTRACT Ficha Catalográfica

Tamanho: px
Começar a partir da página:

Download "focada na qualidade do software Faculdade SENAC DF Pós-Graduação em Segurança da Informação RESUMO Brasília-DF 2013 ABSTRACT Ficha Catalográfica"

Transcrição

1 Faculdade SENAC DF Pós-Graduação em Segurança da Informação Jacy Ferreira Edilberto Magalhães Silva Brasília-DF 2013 Trabalho de Conclusão de Curso apresentado à FACSENAC-DF Faculdade Senac do DF como requisito para a obtenção do título tulo de Especialista em Segurança a da Informação. Auditoria de código-fonte: uma abordagem focada na qualidade do software RESUMO A qualidade de software é alcançada quando o produto está em conformidade com os requisitos do usuário e atende às normas de mercado. Para que o produto esteja em conformidade, é necessário que todas as fases, desde a construção até a implantação, estejam dentro das normas. Atualmente, é grande o número de vulnerabilidades descobertas após os softwares ser disponibilizados no ambiente produtivo, em muitos casos por negligência ou descuido na fase de construção, demandando constantes atualizações. Este artigo propõe a criação de um framework de processos ao unificar ferramentas de controle de versão com as de análise estática de código, com o objetivo de melhorar a qualidade de software. Atende-se dessa forma às necessidades de segurança e auditoria ao controlar as modificações dos softwares por meio de ferramentas de análise estática de código integradas em um framework, reduzindo as vulnerabilidades de código e tornando o software mais seguro. Palavras-Chave: Vulnerabilidade; Auditoria de Código; Framework; Qualidade de Software. ABSTRACT Ficha Catalográfica F383a Ferreira, Jacy. Auditoria de código-fonte: uma abordagem focada na qualidade de software / Jacy Ferreira. Brasília: Faculdade Senac-DF, f.: il. Orientador: Edilberto Magalhães Silva Trabalho de Conclusão de Curso (Especialização em Segurança da Informação), Faculdade Senac-DF, Vulnerabilidade. 2. Auditoria de Código 3. Qualidade de Software. CDU Software quality is achieved when product is in accordance with user requirements and market standards. For the product complies, it is necessary that all phases, from construction to deployment, are in accordance with rules. Nowadays, a large number of vulnerabilities are discovered after the software is available to the production environment, in many cases due to neglecting or oversight in the construction phase, requiring constantly updates. This paper proposes the creation of a process framework by unifying tools version control with static analysis of code, intending to improve software quality. Meeting the needs of security and auditing to software track changes through static analysis tools integrated into a code framework make possible to reduce code vulnerabilities and achieve a more secure software. Keywords: Vulnerability; Audit Code; Framework; Software Quality.

2 Auditoria de código-fonte: uma abordagem focada na qualidade do software 2 1 INTRODUÇÃO O objetivo deste artigo é propor a criação de um framework de processos ao unificar ferramentas de controle de versão com as de análise estática de código, com o objetivo de melhorar a qualidade de software. Dentro do contexto da segurança da informação, a partir de processos e ferramentas de auditoria, análise de código e controle de versões (PCVS 1 ) disponíveis para controle da qualidade de software, serão avaliadas algumas das normas disponíveis no mercado, fazendo uma analogia com as técnicas de engenharia de software, auditoria de sistemas e metodologias e ferramentas adotadas pelo mercado atualmente. Este trabalho não pretende definir norma ou padrão a ser seguido para as ferramentas que tratam da qualidade de software, porém busca propor melhorias aplicando-as em uma das fases do processo de construção do software, sugerindo a integração das ferramentas já existentes no mercado, criando dessa forma um framework 2 de processos que atende à necessidade de auditoria de código. Sugere-se a integração das ferramentas de controle de versões (CVS) com as ferramentas de análise de código-fonte aliada às técnicas de auditoria e normas aplicadas à qualidade, com o objetivo de identificar possíveis vulnerabilidades de forma automática, melhorando assim a segurança de software e a auditoria de código-fonte. A proposta surgiu após conhecer a ferramenta conhecida como Open Source Security Information Management (OSSIM 3 ), que integra diversos aplicativos para gerenciamento de eventos de segurança. Após analisar diversas ferramentas de controle de versões e de análise estática de código, e de realizar pesquisas na literatura referente ao tema, foram encontrados processos que já direcionam esforços para a melhoria de código por meio do framework de processos sugerido neste artigo, porém não há ainda uma 1PCVS Program Version Control Systems (Programa de Controle de Versões) é um software que possui a função de armazenar todo o histórico de alterações em qualquer dos arquivos de códigofonte que compõem um produto de software. 2 Framework é um conjunto de classes que colaboram para realizar uma responsabilidade para um domínio de um subsistema da aplicação. Fayad e Schmidt. 3 Open Source Security Information Management (Ossim) é uma solução open source para gerenciamento de eventos de segurança (Siem) com inteligência para classificar riscos de eventos e ativos, bem como verificar a conformidade com as normas ABNT ISO/IEC 27001:2005 e Payment Card Industry Data Security Standard (PCI-DSS).

3 Auditoria de código-fonte: uma abordagem focada na qualidade do software 3 padronização definida para melhorar a segurança de software. Este estudo está embasado na normas ABNT ISO/IEC 27001:2005, ISO/IEC 27002:2005, ISO/IEC 9000:2000, ISO/IEC 15504:2004, ISO/IEC 12207:2008, auditoria de sistemas, CVS, qualidade de software, CMMI-Dev v1.3 e Cobit 4.1. Segundo Elias (2013), a análise de código-fonte permite detectar fragilidades de desenvolvimento identificando: se as práticas de desenvolvimento seguem conceitos de programação segura; se os controles planejados são efetivos para mitigar os riscos; práticas de códigos vulneráveis. Ainda de acordo com o autor, a auditoria de código deve verificar os seguintes tópicos: i) validação de dados; ii) autenticação; iii) gerenciamento de sessão; iv) autorização; v) criptografia; vi) validação de erros; vii) log; viii) configuração de segurança; ix) arquitetura de redes (ELIAS, 2013). 2 HISTÓRIA DO DESENVOLVIMENTO DE SOFTWARE Para Pacievitch (2011), as linguagens de programação são códigos usados para realizar a comunicação com o computador. São linguagens constituídas de comandos que, utilizados corretamente, executam uma ação. A programação nos computadores não têm data exata de início. Tudo começou na década de 1930, com os primeiros computadores elétricos. Em 1948, Konrad Zuse criou a linguagem de programação Plankalkul. Na época, ainda sem muita utilidade, foi esquecida. Antes de a programação passar para o computador, eram usados cartões de papelão perfurados, criando códigos. Pacievitch (2011). Foi na década de 1950 que as primeiras linguagens modernas surgiram. FORTRAN (1955), List Processor (LISP) e COmmon Business Oriented Language (COBOL). Também apareceu na mesma época a ALGOL 60 (PACIEVITCH, 2011). À época, surgiram (PACIEVITCH, 2011): Simula inventada nos anos 1960 por Nygaard e Dahl, foi a primeira linguagem a suportar o conceito de classes;

4 Auditoria de código-fonte: uma abordagem focada na qualidade do software 4 C uma das primeiras linguagens de programação de sistemas, criada por Dennis Ritchie e Ken Thompson, tem ainda grande influência no mundo atual; Prolog projetada em 1972, foi a primeira linguagem de programação com paradigma lógico; Pascal teve sua época, embora atualmente esteja quase sem uso. Nos anos 1980 surgiu a linguagem C++, criada para ser compatível com C, tornou-se tão popular quanto esta por ser mais simples e dinâmica; e a Perl, ótima para trabalhar em níveis de sobrecarga grandes. Nos anos 1990, a internet impôs-se como um furacão e mudou totalmente o rumo da programação, surgindo a visual Basic e o Object Pascal (PACIEVITCH, 2011) As linguagens Java e Java script foram também criadas, ambas relacionadas à web: Java relativamente simples e orientada para objetos, foi criada com a ideia de revolucionar as linguagens de programação (PACIEVITCH, 2011); PHP muito importante para o desenvolvimento de aplicativos web, cada vez mais toma conta dos websites (PACIEVITCH, 2011). Os paradigmas da programação foram estabelecidos, na maioria, na década de A programação está em todos os equipamentos eletrônicos atuais. Cada programa, cada página na internet vem escrita em alguma linguagem de programação. A programação passou rapidamente por um grande processo de transformação. Com o tempo, as linguagens se foram unindo, ficando mais fortes e com mais funções (PACIEVITCH, 2011). Segundo este autor, as linguagens estão ficando cada vez mais fáceis de interpretar e escrever, porém há necessidade crescente de auditar os códigos escritos pelos desenvolvedores, principalmente diante do grande número de fraudes e vulnerabilidades identificadas posteriormente ao processo ser implantado em produção. Normalmente as empresas auditam o código somente após alguma fraude ter ocorrido, e os desenvolvedores não são treinados para tratar a segurança como item relevante na fase de construção.

5 Auditoria de código-fonte: uma abordagem focada na qualidade do software 5 Acompanhando a evolução das linguagens de programação, vieram junto bugs, vulnerabilidades, falhas e consequentemente a necessidade de normas para melhorar a qualidade do software. Uma das primeiras normas, de outubro de 1946, foi a ISO/IEC (KOSCIANSKI; SOARES, 2006). Para que uma auditoria possa ser conduzida de forma eficiente, é de fundamental importância que o auditor conheça a linguagem de programação que está sendo auditada para que possa compreender as vulnerabilidades encontradas. A utilização da ferramenta de análise serve para ganhar escala, mas não garante a cobertura necessária para uma identificação de todas as vulnerabilidades e falhas. 3 AUDITORIA 3.1 Definição de auditoria de sistemas de informação Para (OLIVEIRA, 2006), Auditoria de Sistemas de Informação é, a revisão dos sistemas de informação, para verificar se realizam as funções e operações para as quais foram criadas, assim como comprovar se os dados e demais informações neles contidos correspondem aos princípios de confiabilidade, integridade, precisão e disponibilidade. A auditoria em segurança da informação tem o papel de assegurar a qualidade da informação e participar do processo de garantia quanto a possíveis e indesejáveis problemas de falha humana (OLIVEIRA, 2006). 3.2 Objetivos da auditoria de sistemas são: Segundo Oliveira (2006), os objetivos da auditoria de sistemas de informação verificar a existência de medidas de controle interno aplicáveis, com caráter generalizado, a quaisquer sistemas de informação (SI) da instituição, entre organismos ou qualquer outro objeto de auditoria; avaliar a adequação do SI às diretrizes básicas de uma boa gestão informática;

6 Auditoria de código-fonte: uma abordagem focada na qualidade do software 6 oferecer uma descrição do SI com base em especificações funcionais e resultados que proporciona; verificar se a informação proporcionada pelo SI é confiável, integra e precisa; determinar se o SI atinge os objetivos para os quais foi desenhado, de forma eficaz e eficiente; propor recomendações oportunas para que o SI se adapte às diretrizes consideradas como essenciais para seu bom funcionamento. Para Oliveira (2006), o serviço de auditoria em código-fonte visa identificar possíveis ameaças e vulnerabilidades por meio de análise detalhada do código-fonte das aplicações. Dentro do contexto da segurança da informação, a auditoria de sistemas tem como objetivo garantir a qualidade do código visando assegurar que o código está em conformidade com as normas e padrões de mercado. 3.3 Objetivos globais da auditoria de sistemas A auditoria de sistemas aplicativos não só tem o objetivo de identificar os controles e avaliar os riscos de confidencialidade, privacidade, acuidade, disponibilidade, auditabilidade e manutenibilidade dos sistemas, mas também de concluir a respeito dos sistemas aplicativos classificados como chaves e das funções-chaves dos sistemas à consecução das missões empresarias. Os objetivos devem ser definidos em formas globais e específicas (IMONIANA, 2005). Segundo este autor, os objetivos globais referentes à auditoria de sistemas aplicativos são: i) integridade; ii) confidencialidade; iii) privacidade; iv) acuidade; v) disponibilidade; vi) auditabilidade; vii) versatilidade; viii) e manutenibilidade (IMONIANA, 2005). Para o autor (2005), especificamente, a auditoria de sistema aplicativo tem por objetivo certificar-se de que: a) as transações registradas nos sistemas são provenientes das operações normais da empresa;

7 Auditoria de código-fonte: uma abordagem focada na qualidade do software 7 b) as transações estejam corretamente contabilizadas nos sistemas, de conformidade com os princípios fundamentais emanados das legislações vigentes; c) os princípios sejam uniformemente aplicados nos sistemas, subsistemas e sistemas consolidadores, contas ou grupos de contas contábeis e ainda em relação aos exercícios anteriores; d) os controles independentes embutidos nos sistemas aplicativos sejam plenamente aplicados para certificar-se da consistência dos lançamentos, garantia dos processamentos e emissão dos relatórios que reflitam o resultado das transações; As ferramentas de controle de versões permitem que a auditoria de código seja feita com segurança ao exibir o histórico de modificações realizadas no códigofonte, dando maior segurança aos processos. 4 OWASP OPEN WEB APPLICATION SECURITY PROJECT Esta entidade sem fins lucrativos e de reconhecimento internacional contribui para a melhoria da segurança de softwares aplicativos reunindo informações importantes que permitem avaliar riscos de segurança e combater formas de ataques na internet (OWASP, 2012). O objetivo principal do Owasp é educar desenvolvedores, designers, arquitetos e organizações a respeito das consequências das vulnerabilidades mais comuns encontradas em aplicações web. O TOP 25 da Owasp provê métodos básicos para proteger as vulnerabilidades um ótimo começo para a codificação segura de um programa de segurança (OWASP, 2012). Uma iniciativa de codificação segura deve abordar todos os estágios do ciclo de vida do sistema. A Owasp auxilia na segurança da informação ao elencar o ranking das principais vulnerabilidades, servindo como guia de referência para a comunidade de desenvolvedores, tornando dessa forma o código mais seguro ao demonstrar exemplos de como corrigir vulnerabilidades (OWASP, 2012). No tópico 8 (estudo de caso), demonstra-se o ranking de vulnerabilidades da Owasp e a relação com uma ferramenta de análise de código estático.

8 Auditoria de código-fonte: uma abordagem focada na qualidade do software 8 5 SISTEMA DE CONTROLE DE VERSÕES 5.1 Definição Um sistema de controle de versão é um gerenciador de repositórios, como de um repositório de arquivos para o código-fonte de um programa em desenvolvimento. Esses sistemas possuem controle de acesso, permitindo auditar toda mudança feita no código-fonte. Podem-se obter diversas informações como: quem fez a alteração, por que foi feita e a identificação de problemas corrigidos ou melhorias introduzidas (5CQUALIBR, 2012) 5.2 Principais objetivos do PVCS para a segurança Segundo o 5CQUALIBR (2012), os principais objetivos de um PVCS são: visualizar as alterações efetuadas por determinado desenvolvedor em um arquivo-fonte; recuperar uma versão antiga de um arquivo-fonte com o objetivo de desfazer uma implantação ou de estudar a evolução do software; acompanhar o trabalho individual de cada um dos membros da equipe, identificando necessidades de treinamento, possibilitando o reconhecimento do bom trabalho e até punindo profissionais que ajam com má fé; montar versões antigas do software com fins de que hoje estejamos desenvolvendo uma versão bem mais evoluída em relação a anterior. 5.3 Utilidade Alguns problemas de desenvolvimento de software são causados por falta de controle de versão, como (5CQUALIBR, 2012): i) sobrescrever um código; ii) perder alterações; iii) faltar controle de alterações (quem fez, quando foi feito...); e iv) encontrar contradições e falhas nas versões

9 Auditoria de código-fonte: uma abordagem focada na qualidade do software Principais vantagens para auditoria do código Segundo (5CQUALIBR, 2012), as principais vantagens de utilizar um sistema de controle de versão para rastrear as alterações feitas durante o desenvolvimento de software ou o desenvolvimento de um documento de texto qualquer são: controle do histórico facilidade em desfazer e possibilidade de analisar o histórico do desenvolvimento, como também facilidade no resgate de versões mais antigas e estáveis. A maioria das implantações permite analisar as alterações com detalhes, desde a primeira versão até a última; trabalho em equipe um sistema de controle de versão permite que diversas pessoas trabalhem sobre o mesmo conjunto de documentos simultaneamente tempo e minimiza o desgaste provocado por problemas com conflitos de edições. É possível que a implantação também tenha um controle sofisticado de acesso para cada usuário ou grupo de usuários; marcação e resgate de versões estáveis a maioria dos sistemas permite marcar o local e quando o documento estava com versão estável, podendo ser facilmente resgatado no futuro; ramificação de projeto a maioria das implantações possibilita a divisão do projeto em várias linhas de desenvolvimento, que podem ser trabalhadas paralelamente, sem que uma interfira na outra. Abaixo, e relacionado alguns exemplos de sistemas de controle de versões: Bazaar (http://bazaar.canonical.com/en) Bitkeeper (http://www.bitkeeper.com) ClearCase (http://www.ibm.com/software/products/br/pt/clearcase) Concurrent Versions System (http://savannah.nongnu.org/projects/cvs) Git (http://git-scm.com) GNU arch (http://www.gnu.org/licenses/licenses.html#gpl) Mercurial (http://mercurial.selenic.com) Monotone (http://www.monotone.ca)

10 Auditoria de código-fonte: uma abordagem focada na qualidade do software 10 PVCS (http://www.serena.com/index. php/en/.../pvcs-vm) RCS (http://www.gnu.org/s/rcs) SCM (http://www.accurev.com) SVN (http://www.subversion.apache.org) LibreSource Synchronizer (http://www.libresource.org) Microsoft Visual SourceSafe (VSS) (http://www.microsoft.com) Rational ClearCase (www.ibm.com/software/products/br/pt/clearcase) Subversion (SVN) (http://subversion.apache.org) TortoiseSVN (http://tortoisesvn.net/) MediaWiki (http://www.mediawiki.org/wiki/mediawiki). 6 FERRAMENTA DE ANÁLISE DE CÓDIGO Segundo Braz (2007), as ferramentas de análise estática de código têm por objetivo examinar o código-fonte para identificar bugs e vulnerabilidades a partir de uma base de dados cadastrada previamente. Para Braz (2007), todas as ferramentas comerciais existentes se fundamentam no mesmo princípio, regras e padrões de codificação suspeitos. Isso as torna muito dependentes da ação humana. Num primeiro momento, para desenhar as regras a partir de muita pesquisa e, depois, para avaliar o resultado de uma análise de código. As ferramentas de análise de código fundamentam-se no Teorema de Rice, que diz que qualquer questão não trivial endereçada a um programa pode ser reduzido ao Problema de Halting, isso implica que os problemas de análise de código são insolúveis no pior caso e, por consequência, que essas ferramentas são obrigadas a fazer aproximação, cujo resultado é algo não perfeito (BRAZ, 2007). Os principais problemas das ferramentas de análise de código-fonte para segurança estão concentrados em (BRAZ, 2007): falso negativo o programa contém bugs não endereçados pela ferramenta. Isso dá a falsa sensação de que não existem bugs, mas na verdade significa que a ferramenta não foi capaz de encontrá-los;

11 Auditoria de código-fonte: uma abordagem focada na qualidade do software 11 falso positivo a ferramenta endereça bugs não existentes. Isso se refere a duas possibilidades: um erro propriamente dito, em que a ferramenta localizou um bug que não existe fisicamente, ou uma classificação da ferramenta incoerente com as variáveis do ambiente. Por exemplo, a ferramenta poderia encontrar um bug de SQL Injection, que na realidade não interessa para o software investigado pelas características de operação. Vale ressaltar que as ferramentas comerciais procuram reduzir o falso positivo, assumindo o custo de deixar passar falsos negativos (BRAZ, 2007) A seguir, exemplos de ferramentas de análise estática de código. Lint (http://en.wikipedia.org/wiki/lint_software) Splint (http://splint.org) PMD (http://pmd.sourceforge.net/) FindBugs (http://findbugs.sourceforge.net) Php-sat (http://www.program-transformation.org/php/phpsat) Ratscan (http://download.cnet.com/ratscan/ _ html) 6.1 FINDBUGS FindBugs é uma ferramenta de análise estática que examina o programa sem executá-lo, trata-se de uma auditória de código. Para isso, analisa-se o bytecode procurando padrões conhecidos. Ele não se limita a uma pesquisa por expressões regulares, mas tenta entender o que o programa quer fazer. É um projeto criado pela Universidade de Maryland (THIAGO, 2010). O FindBugs trabalha, basicamente, com as seguintes categorias de bug (THIAGO, 2010): corretude o código claramente parece estar fazendo algo que o desenvolvedor não pretendia. Por exemplo, referenciar um null pointer;

12 Auditoria de código-fonte: uma abordagem focada na qualidade do software 12 más práticas o código viola alguma boa prática. Por exemplo, sobrescrever o método equals () e não sobrescrever o método hashcode (); erros de concorrência por exemplo, problemas com wait/notify; potenciais problemas de desempenho por exemplo, chamadas ao construtor Integer em vez de chamar Integer. valueof (método construtor); vulnerabilidade de código malicioso por exemplo, métodos que não fazem cópia defensiva de argumentos antes de armazená-los em uma variável membro da classe. O FindBugs, assim como as demais ferramentas de análise de código, auxilia na auditoria de código-fonte ao identificar falhas e vulnerabilidades, tornando desta forma o software mais seguro. Para a segurança da informação é de grande importância a utilização de tais ferramentas para melhorar a qualidade do código, tornando-o mais seguro. 7 QUALIDADE DE SOFTWARE Um dos objetivos de implantar um processo de qualidade de software é estabelecer um processo que garanta e gerencie o nível de qualidade do produto e do processo de desenvolvimento. As empresas já entenderam que fabricar softwares não adequados, além de prejudicar a imagem da organização, aumenta significativamente os custos totais de desenvolvimento. Isso consome rentabilidade dos projetos de software, além de ampliar os riscos de insucesso dos projetos existentes (GUERRA; COLOMBO, 2009). Na verdade, softwares não adequados são sintomas da falta de controle do processo de desenvolvimento, e as grandes indústrias de software já perceberam isso. A cada ano mais informações, técnicas, metodologias, ferramentas e empresas especializam-se em assuntos cada vez mais voltados ao aprimoramento do processo de engenharia de software (GUERRA; COLOMBO, 2009).

13 Auditoria de código-fonte: uma abordagem focada na qualidade do software 13 Para estes autores, um dos mais importantes trabalhos de avaliação da maturidade organizacional de uma empresa de software foi produzido pelo Software Engineering Institute (SEI), centro de desenvolvimento e pesquisa patrocinado pelo Departamento de Defesa dos Estados Unidos e filiado à Universidade Carnegie e Mellon. Sua missão foi produzir um trabalho que possibilitasse às organizações aperfeiçoar a qualidade do produtos finais, empregando o estado da arte no desenvolvimento de software (GUERRA; COLOMBO, 2009). O resultado do trabalho foi o modelo Capability Maturity Model Integration (CMMI), que tem como foco o processo de software na proposta de melhoria continua, trazendo disciplina e controle no desenvolvimento e manutenção do software. Essas seriam as chaves para aperfeiçoar a qualidade do desenvolvimento de produtos de software (GUERRA; COLOMBO, 2009). Pode-se definir qualidade de produto de software como a conformidade a requisitos funcionais e de desempenho declarados explicitamente, padrões de desenvolvimento claramente documentados e características implícitas que são esperadas de todo software desenvolvido profissionalmente. De acordo com a NBR ISO/IEC 9001:2008: Qualidade é a totalidade de requisitos e características de um produto ou serviço que estabelece a capacidade de satisfazer as necessidades explícitas e implícitas de um cliente. 7.1 Modelo CMMI O Capability Maturity Model Integration (CMMI) definido pelo Software Engineering Institute (SEI) descreve uma estrutura de trabalho que possui todos os elementos necessários para tornar um processo de desenvolvimento de software mais eficiente e controlado. O CMMI baseia-se em um modelo evolutivo de maturidade, no qual as organizações partem da total falta de controle e gerenciamento dos processos (imaturidade organizacional) para gradativamente adquirir novas competências, incrementando o nível de eficiência e maturidade em relação aos diversos processos críticos envolvidos em desenvolvimento de software (BARTIÉ, 2002). O modelo de processo CMMI baseia-se em cinco níveis de maturidade organizacional (Figura 1). Cada nível representa um estágio de maturidade dentro

14 Auditoria de código-fonte: uma abordagem focada na qualidade do software 14 do processo de desenvolvimento de software. Cada organização tem seu nível individual de maturidade, refletindo seu grau de controle sobre o processo como um todo. Bartié (2002) entende que nenhuma empresa consegue sair do nível 1 e chegar ao nível 3 sem antes passar pelo nível 2. Cada nível é um pré-requisito para o outro; e cada organização consegue enxergar somente o que sua maturidade permite. Apesar disso, as organizações podem usar de maneira vantajosa processos descritos em níveis de maturidade superiores aos que se encontram. Mudar de nível não e uma atividade simples, requer ruptura nos padrões culturais da organização. Quebrar velhos hábitos e rever processos de trabalho exige muito treinamento, envolvimento e dedicação, além de consumir trabalho dinheiro, ou seja, é um processo exigente e custoso. O CMMI para Desenvolvimento (CMMI-DEV) é um modelo de maturidade para melhoria de processos, destinado ao desenvolvimento de produtos e serviços composto pelas melhores práticas associadas a atividades de desenvolvimento e manutenção que cobrem o ciclo de vida do produto desde a concepção até a entrega e manutenção. Para Bartié (2002), na área de processos o CMMI prevê a necessidade de treinamento na organização (OT), para desenvolver as habilidades e o conhecimento das pessoas, de modo que possam desempenhar seu papel de forma eficiente e eficaz. A utilização de um processo automatizado de análise estática do código-fonte de forma automatizada melhora a qualidade do produto ao tornar obrigatória a análise estática do código, identificando vulnerabilidades, tornando o software seguro ao identificar e apresentar as falhas no código-fonte, atendendo dessa forma a este item do CMMI. Mais de 85% das organizações ainda está no nível 1, ou seja, produzindo software de forma desordenada e sem controles. À medida que o tempo vai passando, se as empresas não evoluírem na forma de pensar e agir, estarão condenadas a desaparecer. Para não passar a ideia de que o desafio de atingir o nível 5 é impossível, há algumas empresas que conseguiram atingir esse patamar organizacional. Parece que dar os primeiros passos é a tarefa mais complexa a ser realizada. (BRASIL,2012).

15 Auditoria de código-fonte: uma abordagem focada na qualidade do software 15 Figura 1 Níveis de maturidade do CMMI 7.2 A ABNT NBR ISO/IEC 27002:2005 e a qualidade do software A Associação Brasileira de Normas Técnicas (ABNT) ISO/IEC 27002:2005 tem a finalidade de garantir a continuidade dos negócios por meio da implantação de controles que minimize o risco de incidentes de segurança da informação e perda de informações valiosas para a empresa (ABNT, 2005). A seção 10 da norma trata do gerenciamento de operações e comunicação, e a seção 12 trata da aquisição, desenvolvimento e manutenção de sistemas de informação. A seguir são listados os itens relacionados à proteção contra códigos maliciosos e móveis e controle de acesso ao código-fonte de programa da ABNT ISO/IEC 27002:2005 com as diretrizes para implantação. Proteção contra códigos maliciosos e códigos móveis (10.4). Objetivo: proteger a integridade do software e da informação. Precauções são requeridas para prevenir e detectar a introdução de códigos maliciosos e móveis não autorizados. Os recursos de processamento da informação e os softwares são vulneráveis à introdução de código malicioso, tais como vírus de computador, worms de rede, cavalos-de-troia e bombas lógicas4. Convém que os usuários estejam conscientes 4 Bombas lógicas são dispositivos programados cuja detonação ocorre em um momento determinado explorando a data do sistema, o lançamento de um comando ou qualquer recurso. Esse tipo de vírus é capaz de se ativar em um momento preciso num grande número de máquinas (fala-se então de bomba de retardamento, ou bomba temporal).

16 Auditoria de código-fonte: uma abordagem focada na qualidade do software 16 dos perigos do código malicioso e que os gestores, quando apropriado, implantem controles para prevenir, detectar e remover código malicioso e controlar códigos móveis. Controles contra códigos maliciosos (10.4.1). Controle convêm que sejam implantados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários. Diretrizes para implantação convém que a proteção contra códigos maliciosos seja baseada em softwares de detecção de códigos maliciosos e reparo, na conscientização da segurança da informação, no controle de acesso adequado e nos controles de gerenciamento de mudanças. Para tanto, convém que as seguintes diretrizes sejam consideradas: estabelecer uma política formal proibindo o uso de softwares não autorizados; estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares, seja de redes externas, seja por qualquer outro meio, indicando quais medidas preventivas devam ser adotadas; conduzir análises criticas regulares dos softwares e dados dos sistemas que suportam processos críticos de negócio. Convém que a presença de quaisquer arquivos não aprovados ou atualização não autorizada seja formalmente investigada; instalar e atualizar regularmente softwares de detecção e remoção de códigos maliciosos para o exame de computadores e mídias magnéticas, de forma preventiva ou de forma rotineira. Convém realizar: verificação, antes de uso, da existência de códigos maliciosos nos arquivos em mídias óticas ou eletrônicas, bem como nos arquivos transmitidos através de redes;

17 Auditoria de código-fonte: uma abordagem focada na qualidade do software 17 verificação da existência de códigos maliciosos em páginas web; procedimentos para regularmente coletar informações, tais como, assinaturas de listas de discussão e visitas a sites sobre códigos maliciosos; procedimentos para verificação de informação relacionada a códigos maliciosos e garantia de que os boletins com alertas sejam precisos e informativos. Convém que os gestores garantam que fontes qualificadas, como, por exemplo, jornais com reputação idônea, sites confiáveis ou fornecedores de software de proteção contra códigos maliciosos, sejam utilizadas para diferenciar boatos de noticias reais sobre códigos maliciosos. Convém que todos os usuários estejam cientes dos problemas decorrentes de boatos e capacitados a lidar com eles; convém que seja tomado cuidado quanto a possível introdução de códigos maliciosos durante manutenções e quando estão sendo realizados procedimentos de emergência. Tais procedimentos podem ignorar controles normais de proteção contra códigos maliciosos. Controle de acesso ao código-fonte de programa (12.4.3) Controle convém que o acesso ao código-fonte de programa seja restrito Diretrizes para implantação Convém que o acesso ao código-fonte de programa e de itens associados (como desenhos, especificações, planos de verificação e de validação) seja estritamente controlado com a finalidade de prevenir a introdução de funcionalidade não autorizada e para evitar mudanças não intencionais. Dentro do contexto da segurança da informação, a ISO/IEC 27002:2005 orienta sobre a necessidade de atualização de fontes idôneas sobre código malicioso. Neste artigo sugere-se a utilização da Owasp, que é uma fonte segura para atualização sobre as vulnerabilidades, dessa forma, ao incrementar regras nas ferramentas de análise para checar às vulnerabilidades, este item da norma é

18 Auditoria de código-fonte: uma abordagem focada na qualidade do software 18 atendido parcialmente, pois para tornar o software seguro são necessárias muitas outras ações, por isso neste ponto se estão focando somente as vulnerabilidades do código-fonte. 7.3 ISO/IEC 9000:2000 para desenvolvimento de Software A International Organization for Standardization (ISO) é uma organização internacional responsável por produzir normas e padrões adotados por alguns países: no Brasil, algumas das normas definidas pela Associação Brasileira de Normas Técnicas (ABNT) são baseadas nas normas publicadas pela ISO. O conjunto de normas ISO/IEC 9000:2000 trata especificamente de sistemas de qualidade e está na 3ª versão (ISO/IEC 9000:2000), publicada no ano 2000 (FOINA, 2006). Segundo Foina (2006), a ISO/IEC 9000:2000 é composta pelas seções abaixo: ISO/IEC 9000:2000 Sistema de Gerenciamento de Qualidade: traz os conceitos fundamentais e terminologia usada em todas as demais seções. ISO/IEC 9001:2000 Sistema de Gerenciamento de Qualidade: requisitos para ser usados em qualquer tipo de organização que projete, desenvolva, construa, instale qualquer tipo de produto ou serviço. Define um conjunto de requisitos que as organizações devem cumprir para conseguir elevado nível de satisfação dos clientes. ISO/IEC 9004:2000 Sistema de Gerenciamento de Qualidade: roteiros para o incremento do desempenho e da maturidade do sistema de qualidade. A norma ISO/IEC é uma versão da ISO/IEC 9000:2000 específica para empresas de desenvolvimento de software. O foco dessa norma (que é uma das mais utilizadas do conjunto 9000) é a qualidade percebida pelo cliente. Está fortemente baseada na ISO IEC 12207:2008 (ciclo de vida de software), (avaliação de processo) e 9126 (avaliação de produto). Para Foina (2006), a convivência da ISO/IEC com CMMI é possível e bastante frequente, pois boa parte das exigências para essas certificações é muito próxima, o que reduz os custos de obtê-las.

19 Auditoria de código-fonte: uma abordagem focada na qualidade do software 19 A auditoria de código utilizando ferramentas de controle de versões aliadas às de análise de código garantem a melhoria do código atendendo às necessidades referentes a qualidade citadas nesta ISO. 7.4 COBIT 4.1 O Cobit 4.1 sugere os seguinte controles para o software: DS5 Garantir a Segurança dos Sistemas; DS 5.9 Prevenção, Detecção e Correção de Software Malicioso. Assegurar que medidas preventivas, de detecção e corretivas sejam estabelecidas corporativamente, em especial correções de segurança (patches) e controles de vírus, para proteger os sistemas de informação e tecnologias contra malwares (vírus, worms, spyware, spam). Com a integração das ferramentas de análise estática nos sistemas de controle de versões, os itens DS5 e DS 5.9 são atendidos de forma automatizada, prevendo inclusive a geração de relatórios de auditoria para demonstrar falhas identificadas antes de o software entrar no ambiente produtivo. 7.5 ISO/IEC IEC 12207:2008 Um dos própositos desta norma é definir um linguajar comum em meio ao grande número de métodos, técnicas, modelos e normas que tratam da qualidade. Ao fazê-lo, esta norma cobre todo o ciclo de vida, de requisitos até a manutenção e retirada de uso de um produto, além de outros processos associados, com a aquisição de componentes de terceiros (KOSCIANSKI; SOARES, 2006). Segundo estes autores, a estrutura da norma foi concebida para ser modular e adaptável às necessidades dos interessados em utilizá-la. Os processos são classificados em três categorias (KOSCIANSKI; SOARES, 2006): Primários processos básicos que se relacionam aos produtos de software; de apoio os processos desta categoria têm lugar, em geral, depois que um processo primário é iniciado. Exemplos são revisões, auditorias e solução de problemas;

20 Auditoria de código-fonte: uma abordagem focada na qualidade do software 20 organizacionais processos que dizem respeito à operação da organização em si, tais como gestão e treinamentos. A aplicação desta norma à segurança da informação é nos processos de apoio, que prevê a auditoria e a revisão, com a integração das ferramentas de controle de versões e análise de código, desta forma, a conformidade com esta norma estaria atendida neste quesito. 7.6 ISO/IEC 15504:2008 Segundo Koscianski e Soares (2006, p. 157), esta norma apresenta uma estrutura para a realização de avaliações de processos em organizações e pode ser aplicada em situações como de uma empresa que busca melhorias internas e em avaliação de terceiros ao realizar contratos de prestação de serviços ou fornecimento de produtos. A norma ISO IEC 15504:2003 remonta ao ano de 1991, quando o JTC1 iniciou estudo sobre a necessidade de uma norma para avaliação de processos de software. Em 1993, teve início o projeto Software Process Improvement and Capability determination (Spice), com três objetivos básicos: auxiliar no início do projeto de norma a execução de testes de campo para obter dados de experiências práticas e despertar o mercado para o surgimento da futura norma. A norma ISO/IEC 15504:2003 pode ser aplicada com dois objetivos: melhoramento ou avaliação de processos. Em ambos os casos, três elementos devem ser precisamente definidos: os processos, uma métrica e um método de medição. Na segurança da informação, esta norma pode melhorar os processos pela integração das ferramentas de análise com os sistemas de controle de versões, ao tornar essa prática de forma automática, para que o código fique mais seguro. 8 ESTUDO DE CASO são: As ferramentas utilizadas para a construção de um software normalmente editor de texto para digitação do código-fonte;

21 Auditoria de código-fonte: uma abordagem focada na qualidade do software 21 depuradores para depuração do código; compiladores; ferramenta de controle de versão para controle de alterações; analisador de código-fonte para ajudar a encontrar falhas de segurança. 8.1 Ferramenta de controle de versão Na Figura 2 é exibida a tela principal do sistema de controle de versões (PVCS: Serena Dimensions), com a sugestão proposta neste artigo, integrando-o à ferramenta de análise de código estática. Auditoria Regras de validação Incluir Consultar Alterar Excluir Imprimir Relatório Figura 2 PVCS: sugestão de integração com auditoria Na Figura 3 são exibidos os processo tratados neste artigo. Foram mapeados todos os processo relacionados que tratam de vulnerabilidades, construção e qualidade de software, sendo que nas fases de um processo de software no PVCS é sugerido o ponto no qual a integração da ferramenta de análise de código deve ser incluída.

22 Auditoria de código-fonte: uma abordagem focada na qualidade do software 22 TCC - Auditoria de Código Fonte 0 1 r Framework - Qualidade do Software aplicando as normas ISO/IEC 12207:2008 Ciclo de desenvolvimento de Software Qualidade de Software Vulnerabilidades OWASP ISO/IEC 27002/2005 CVS - Version Control System Controle de versões Ferramenta Análise de código Cobit 4.1 ISO/IEC Níveis de maturidade Auditoria ISO 9000 CMMI Figura 3 Proposta de Framework A proposta é que, ao integrar a ferramenta de análise de código com a ferramenta de controle de versões, o processo transforme-se em um framework de processos, tornando-se um passo obrigatório na construção de software, mitigando as principais vulnerabilidades, além de outros erros, conforme visto no tópico 6.1 (FindBugs). A integração do FindBugs com o Serena Dimensions já e possível através da utilização de plugins, 5 porém a utilização de plugins e opcional. A proposta do framework é que esta regra seja aplicada para qualquer sistema de controle de versões a ser adotado para o controle de código, integrando-o de forma automática com a ferramenta de análise de código. ISO/IEC 12207:2008 conforme demonstrado no tópico 7.5, a conformidade com esta norma está sendo atendida no item De apoio neste caso, a auditoria de forma automatizada melhora a segurança do software e consequentemente sua qualidade. ISO/IEC 27002:2005 conforme demonstrado no item 7.2, esta norma prevê que sejam desenvolvidos controles contra códigos maliciosos. Ao integrar os processos, este item é atendido de forma automática ao 5 Plugin é um programa, ferramenta ou extensão que se encaixa a outro programa principal para adicionar mais funções e recursos.

23 Auditoria de código-fonte: uma abordagem focada na qualidade do software 23 identificar possíveis vulnerabilidades que possam vir a ser implantadas dentro do código-fonte. ISO/IEC 15504:2003 a melhoria dos processos prevista por esta norma, conforme consta no item 7.6, é executada de forma automatizada, já que a rotatividade de desenvolvedores não impacta em novos treinamentos. ISO 9000 O framework proposto atende às necessidades de qualidade, conforme item 7.3, já que o cliente consegue perceber a qualidade dos softwares no quesito segurança. Qualidade de software qualidade é um dos objetivos principais da integração das ferramentas de análise de código com as de controle de versões. O atendimento ao requisitos do cliente está sendo automatizado com segurança. Vulnerabilidades Owasp a Owasp serve como referência para parametrização das ferramentas de análise. O framework está sempre atualizado com as principais vulnerabilidades identificadas na Owasp. Cobit 4.1 com o framework controlando os processos, a conformidade com o controle DS 5.9 torna-se de forma automática ao implantar medidas preventivas de auditoria de código e análise do código. Auditoria o processo de auditoria fica transparente, já que a adoção da ferramenta de controle de versões armazena todo o histórico de modificações e a ferramenta de análise de código protege os sistemas contra a implantação de vulnerabilidades conhecidas e parametrizadas na ferramenta. CMMI-Dev O desenvolvimento de software torna-se mais eficiente e controlado de forma automatizada, dando mais segurança aos sistemas entregues ao cliente. Controle de versões conforme citado no tópico 5, a utilização de sistemas de controle de versões permite gerenciar todo o código-fonte ao armazenar o ciclo de vida completo do software. A auditoria é feita de forma transparente. Ferramentas de análise de código conforme citado no tópico 6, ao examinar o código-fonte, as vulnerabilidades são identificadas na fase que antecede a implantação do código no ambiente de produção. A

24 Auditoria de código-fonte: uma abordagem focada na qualidade do software 24 segurança e a auditoria são feitas de forma automatizada e com maior eficiência ao adotar o framework de processos. 8.2 Analisador de código-fonte Neste tópico será demonstrada a utilização da ferramenta FindBugs (MARYLAND, 2012), analisando-se o bytecode na linguagem de programação Java e identificando falhas em programas, conforme itens citados no tópico 6.1 (FindBugs). O objetivo do analisador de código-fonte não é identificar erros de sintaxe de programação, mas sim possíveis falhas de segurança e vulnerabilidades existentes, além de sugestão de desempenho do código. Os editores já tratam os erros de sintaxe, portanto, neste ponto se parte do princípio que há um código já compilado com os erros de sintaxe corrigido. Figura 4 Tela de parametrização do FindBugs Passo 1: seleciona-se no menu opções File New Project Informe o nome do projeto (Figura 4, acima). No boxe classpath for analysis informe o nome de um programa, um diretório ou os objetos a ser analisados (no exemplo abaixo se está analisando todos os diretórios para demonstrar o funcionamento). Em seguida

25 Auditoria de código-fonte: uma abordagem focada na qualidade do software 25 clique em Análise. O FindBugs pesquisa por todos os objetos Java dentro dos diretórios selecionados. Figura 5 Pesquisando e analisando objetos Passo 2: O processo de análise esta em execução (Figura 5, acima). Figura 6 Resultado da análise Passo 3: Resultado da pesquisa observa-se que foram encontrados dentro dos objetos pesquisados 545 com algum tipo de Bug, sendo que 152 tem código considerado malicioso com vulnerabilidades identificadas (Figura 6).

26 Auditoria de código-fonte: uma abordagem focada na qualidade do software 26 Figura 7 Detalhe de uma vulnerabilidade de segurança Passo 4: foi encontrada uma vulnerabilidade prevista no Owasp (Figura 7), sendo apresentados ao lado os detalhes com sugestão para correção. Figura 8 Página do FindBugs com detalhes da vulnerabilidade Passo 5: ao clicar no link do passo anterior, é aberto outro link com detalhes da vulnerabilidade na página do FindBugs (Figura 8, acima); esta vulnerabilidade está no topo da lista de vulnerabilidades (Quadro 1), cross site scripting (XSS). Na tabela 1, abaixo, demonstra-se o ranking das vulnerabilidades em 2007 pela Owasp, na coluna identifica é marcado qual vulnerabilidade o FindBugs consegue identificar.

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Qualidade de Processo de Software Normas ISO 12207 e 15504

Qualidade de Processo de Software Normas ISO 12207 e 15504 Especialização em Gerência de Projetos de Software Qualidade de Processo de Software Normas ISO 12207 e 15504 Prof. Dr. Sandro Ronaldo Bezerra Oliveira srbo@ufpa.br Qualidade de Software 2009 Instituto

Leia mais

Prof. Dr. Ivanir Costa. Unidade III QUALIDADE DE SOFTWARE

Prof. Dr. Ivanir Costa. Unidade III QUALIDADE DE SOFTWARE Prof. Dr. Ivanir Costa Unidade III QUALIDADE DE SOFTWARE Normas de qualidade de software - introdução Encontra-se no site da ABNT (Associação Brasileira de Normas Técnicas) as seguintes definições: Normalização

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Qualidade de Software

Qualidade de Software Rafael D. Ribeiro, M.Sc. rafaeldiasribeiro@gmail.com http://www.rafaeldiasribeiro.com.br A expressão ISO 9000 (International Organization for Standardization) designa um grupo de normas técnicas que estabelecem

Leia mais

Processo de Software

Processo de Software Processo de Software Uma importante contribuição da área de pesquisa de processo de software tem sido a conscientização de que o desenvolvimento de software é um processo complexo. Pesquisadores e profissionais

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

GARANTIA DA QUALIDADE DE SOFTWARE

GARANTIA DA QUALIDADE DE SOFTWARE GARANTIA DA QUALIDADE DE SOFTWARE Fonte: http://www.testexpert.com.br/?q=node/669 1 GARANTIA DA QUALIDADE DE SOFTWARE Segundo a NBR ISO 9000:2005, qualidade é o grau no qual um conjunto de características

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Qualidade de. Software. Definições. Qualidade do Produto ISO 9126. Processo de. Software. Modelo de Processo de. Software CMM SPICE ISO 12207

Qualidade de. Software. Definições. Qualidade do Produto ISO 9126. Processo de. Software. Modelo de Processo de. Software CMM SPICE ISO 12207 Qualidade de : Visão Geral ISO 12207: Estrutura s Fundamentais Aquisição Fornecimento s de Apoio Documentação Garantia de Qualidade Operação Desenvolvimento Manutenção Verificação Validação Revisão Conjunta

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 1 CobIT Modelo abrangente aplicável para a auditoria e controle de processo de TI, desde o planejamento da tecnologia até a monitoração e auditoria de

Leia mais

TERMO DE REFERÊNCIA. 1. Objeto. 2. Antecedentes. 3. Objeto da Licitação

TERMO DE REFERÊNCIA. 1. Objeto. 2. Antecedentes. 3. Objeto da Licitação TERMO DE REFERÊNCIA 1. Objeto 1.1. Contratação de empresa especializada em auditoria de tecnologia da informação e comunicações, com foco em segurança da informação na análise de quatro domínios: Processos

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

Soluções de Segurança da Informação para o mundo corporativo

Soluções de Segurança da Informação para o mundo corporativo Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias rafael@clavis.com.br Conceitos

Leia mais

CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 27006:2011) - OTS

CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 27006:2011) - OTS CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 276:2011) - OTS NORMA Nº NIT-DICOR-011 APROVADA EM MAR/2013 Nº 01/46 SUMÁRIO

Leia mais

ESTUDO COMPARATIVO NBR ISO 13485:2004 RDC 59:2000 PORTARIA 686:1998 ITENS DE VERIFICAÇÃO PARA AUDITORIA

ESTUDO COMPARATIVO NBR ISO 13485:2004 RDC 59:2000 PORTARIA 686:1998 ITENS DE VERIFICAÇÃO PARA AUDITORIA ESTUDOCOMPARATIVO NBRISO13485:2004 RDC59:2000 PORTARIA686:1998 ITENSDEVERIFICAÇÃOPARAAUDITORIA 1. OBJETIVO 1.2. 1. Há algum requisito da Clausula 7 da NBR ISO 13485:2004 que foi excluída do escopo de aplicação

Leia mais

Universidade Paulista

Universidade Paulista Universidade Paulista Ciência da Computação Sistemas de Informação Gestão da Qualidade Principais pontos da NBR ISO/IEC 12207 - Tecnologia da Informação Processos de ciclo de vida de software Sergio Petersen

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Norton Internet Security Guia do Usuário

Norton Internet Security Guia do Usuário Guia do Usuário Norton Internet Security Guia do Usuário O software descrito neste guia é fornecido sob um contrato de licença e pode ser usado somente conforme os termos do contrato. Documentação versão

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

Consulte a parte de trás para obter informações sobre instalação rápida.

Consulte a parte de trás para obter informações sobre instalação rápida. Guia do Usuário Consulte a parte de trás para obter informações sobre instalação rápida. Protegemos mais usuários contra ameaças on-line do que qualquer outra empresa no mundo. Cuidar de nosso meio ambiente,

Leia mais

Consulte a parte de trás para obter informações sobre instalação rápida.

Consulte a parte de trás para obter informações sobre instalação rápida. Guia do Usuário Consulte a parte de trás para obter informações sobre instalação rápida. Protegemos mais usuários contra ameaças on-line do que qualquer outra empresa no mundo. Cuidar de nosso meio ambiente,

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

CMMI. B) descrições das atividades consideradas importantes para o atendimento de suas respectivas metas específicas. Governo do ES (CESPE 2009)

CMMI. B) descrições das atividades consideradas importantes para o atendimento de suas respectivas metas específicas. Governo do ES (CESPE 2009) CMMI Governo do ES (CESPE 2009) Na versão 1.2 do CMMI, 111 os níveis de capacidade são definidos na abordagem de estágios. 112 os níveis de maturidade são definidos na abordagem contínua. 113 existem seis

Leia mais

Qualidade na gestão de projeto de desenvolvimento de software

Qualidade na gestão de projeto de desenvolvimento de software Qualidade na gestão de projeto de desenvolvimento de software [...] O que é a Qualidade? A qualidade é uma característica intrínseca e multifacetada de um produto (BASILI, et al, 1991; TAUSWORTHE, 1995).

Leia mais

Qualidade de Software: Visão Geral

Qualidade de Software: Visão Geral Qualidade de Software: Visão Geral Engenharia de Software 1 Aula 05 Qualidade de Software Existem muitas definições de qualidade de software propostas na literatura, sob diferentes pontos de vista Qualidade

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança + Conformidade Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança e Conformidade via Software-as-a-Service (SaaS) Hoje em dia, é essencial para as empresas administrarem riscos de segurança

Leia mais

Plano de Gerência de Configuração

Plano de Gerência de Configuração Plano de Gerência de Configuração Objetivo do Documento Introdução A aplicação deste plano garante a integridade de códigos-fonte e demais produtos dos sistemas do, permitindo o acompanhamento destes itens

Leia mais

Conviso Security Training Ementa dos Treinamentos

Conviso Security Training Ementa dos Treinamentos Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Qualidade de Processo de Desenvolvimento de Software

Qualidade de Processo de Desenvolvimento de Software Qualidade de Processo de Desenvolvimento de Software DAS 5316 Integração de Sistemas Corporativos DAS 5316 Integração de Sistemas Corporativos Prof. Ricardo J. Rabelo Conteúdo Introdução & Problemática

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL MARÇO, 2015 ÍNDICE OBJETIVO 3 ESCOPO 3 DEFINIÇÕES Risco Inerente 4 DEFINIÇÕES Risco Operacional 4 DEFINIÇÕES Evento de Risco Operacional 4 FUNÇÕES E RESPONSABILIDADES

Leia mais

Internet Segura para a Família: Ferramentas seguras que auxiliam seus filhos a manterem-se seguros na Internet by Team Gemalto on 24 May 2011 17H37

Internet Segura para a Família: Ferramentas seguras que auxiliam seus filhos a manterem-se seguros na Internet by Team Gemalto on 24 May 2011 17H37 Internet Segura para a Família: Ferramentas seguras que auxiliam seus filhos a manterem-se seguros na Internet by Team Gemalto on 24 May 2011 17H37 Quando nossos filhos ficam mais velhos, eles tornam-se

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

Software de gerenciamento do sistema Intel. Guia do usuário do Pacote de gerenciamento do servidor modular Intel

Software de gerenciamento do sistema Intel. Guia do usuário do Pacote de gerenciamento do servidor modular Intel Software de gerenciamento do sistema Intel do servidor modular Intel Declarações de Caráter Legal AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO SÃO RELACIONADAS AOS PRODUTOS INTEL, PARA FINS DE SUPORTE ÀS PLACAS

Leia mais

Sistemas de Informação Empresarial

Sistemas de Informação Empresarial Sistemas de Informação Empresarial Governança de Tecnologia da Informação parte 2 Fonte: Mônica C. Rodrigues Padrões e Gestão de TI ISO,COBIT, ITIL 3 International Organization for Standardization d -

Leia mais

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com COBIT Um kit de ferramentas para a excelência na gestão de TI Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com Introdução Atualmente, é impossível imaginar uma empresa sem uma forte área de sistemas

Leia mais

ESET NOD32 ANTIVIRUS 9

ESET NOD32 ANTIVIRUS 9 ESET NOD32 ANTIVIRUS 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento O ESET NOD32 Antivirus fornece

Leia mais

Figura 1 - Arquitetura multi-camadas do SIE

Figura 1 - Arquitetura multi-camadas do SIE Um estudo sobre os aspectos de desenvolvimento e distribuição do SIE Fernando Pires Barbosa¹, Equipe Técnica do SIE¹ ¹Centro de Processamento de Dados, Universidade Federal de Santa Maria fernando.barbosa@cpd.ufsm.br

Leia mais

IT Service Management Foundation Bridge based on ISO/IEC 20000

IT Service Management Foundation Bridge based on ISO/IEC 20000 Exame simulado IT Service Management Foundation Bridge based on ISO/IEC 20000 Edição Novembro, 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

ESET NOD32 ANTIVIRUS 6

ESET NOD32 ANTIVIRUS 6 ESET NOD32 ANTIVIRUS 6 Microsoft Windows 8 / 7 / Vista / XP / Home Server Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento O ESET NOD32 Antivirus fornece

Leia mais

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS CESBE S.A. ENGENHARIA E EMPREENDIMENTOS SISTEMA DA GESTÃO AMBIENTAL MANUAL Elaborado por Comitê de Gestão de Aprovado por Paulo Fernando G.Habitzreuter Código: MA..01 Pag.: 2/12 Sumário Pag. 1. Objetivo...

Leia mais

QUALIDADE DE SOFTWARE AULA N.7

QUALIDADE DE SOFTWARE AULA N.7 QUALIDADE DE SOFTWARE AULA N.7 Curso: SISTEMAS DE INFORMAÇÃO Disciplina: Qualidade de Software Profa. : Kátia Lopes Silva 1 CMM: DEFINIÇÃO Capability Maturity Model Um modelo que descreve como as práticas

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

PROJETO RUMOS DA INDÚSTRIA PAULISTA

PROJETO RUMOS DA INDÚSTRIA PAULISTA PROJETO RUMOS DA INDÚSTRIA PAULISTA SEGURANÇA CIBERNÉTICA Fevereiro/2015 SOBRE A PESQUISA Esta pesquisa tem como objetivo entender o nível de maturidade em que as indústrias paulistas se encontram em relação

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Quanto mais informações você disponibiliza na Internet, mais difícil se torna preservar a sua privacidade Nada impede que você abra mão de sua privacidade e, de livre e espontânea

Leia mais

Certificado Digital A1

Certificado Digital A1 Abril/ Certificado Digital A1 Geração Página 1 de 32 Abril/ Pré requisitos para a geração Dispositivos de Certificação Digital Para que o processo de instalação tenha sucesso, é necessário obedecer aos

Leia mais

CHECK - LIST - ISO 9001:2000

CHECK - LIST - ISO 9001:2000 REQUISITOS ISO 9001: 2000 SIM NÃO 1.2 APLICAÇÃO A organização identificou as exclusões de itens da norma no seu manual da qualidade? As exclusões são relacionadas somente aos requisitos da sessão 7 da

Leia mais

ESET NOD32 ANTIVIRUS 8

ESET NOD32 ANTIVIRUS 8 ESET NOD32 ANTIVIRUS 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Gerência de Configuração. Professor: Dr. Eduardo Santana de Almeida Universidade Federal da Bahia esa@dcc.ufba.br

Gerência de Configuração. Professor: Dr. Eduardo Santana de Almeida Universidade Federal da Bahia esa@dcc.ufba.br Gerência de Configuração Professor: Dr. Eduardo Santana de Almeida Universidade Federal da Bahia esa@dcc.ufba.br Introdução Mudanças durante o desenvolvimento de software são inevitáveis: os interesses

Leia mais

Norton 360 Online Guia do Usuário

Norton 360 Online Guia do Usuário Guia do Usuário Norton 360 Online Guia do Usuário Documentação versão 1.0 Copyright 2007 Symantec Corporation. Todos os direitos reservados. O software licenciado e a documentação são considerados software

Leia mais

Prof. Jefferson Costa www.jeffersoncosta.com.br

Prof. Jefferson Costa www.jeffersoncosta.com.br Prof. Jefferson Costa www.jeffersoncosta.com.br Preservação da: confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatidão

Leia mais

Manual do Sistema de Gestão Ambiental - Instant Solutions. Manual do Sistema de Gestão Ambiental da empresa

Manual do Sistema de Gestão Ambiental - Instant Solutions. Manual do Sistema de Gestão Ambiental da empresa Manual do Sistema de Gestão Ambiental da empresa Data da Criação: 09/11/2012 Dara de revisão: 18/12/2012 1 - Sumário - 1. A Instant Solutions... 3 1.1. Perfil da empresa... 3 1.2. Responsabilidade ambiental...

Leia mais

Estudo de Caso da Implantação do Nível G do MPS.BR em Uma Empresa

Estudo de Caso da Implantação do Nível G do MPS.BR em Uma Empresa Estudo de Caso da Implantação do Nível G do MPS.BR em Uma Empresa Dayana Henriques Fonseca 1, Frederico Miranda Coelho 1 1 Departamento de Ciência da Computação Universidade Presidente Antônio Carlos (UNIPAC)

Leia mais

Certificado Digital A1

Certificado Digital A1 Certificado Digital A1 Geração Todos os direitos reservados. Imprensa Oficial do Estado S.A. - 2012 Página 1 de 41 Pré-requisitos para a geração Dispositivos de Certificação Digital Para que o processo

Leia mais

2.3. ORGANIZAÇÕES E GESTÃO DOS SISTEMAS DE INFORMAÇÃO

2.3. ORGANIZAÇÕES E GESTÃO DOS SISTEMAS DE INFORMAÇÃO 2.3. ORGANIZAÇÕES E GESTÃO DOS SISTEMAS DE INFORMAÇÃO As Empresas e os Sistemas Problemas locais - impacto no sistema total. Empresas como subsistemas de um sistema maior. Uma empresa excede a soma de

Leia mais

CONSULTORIA E SERVIÇOS DE INFORMÁTICA

CONSULTORIA E SERVIÇOS DE INFORMÁTICA CONSULTORIA E SERVIÇOS DE INFORMÁTICA Quem Somos A Vital T.I surgiu com apenas um propósito: atender com dedicação nossos clientes. Para nós, cada cliente é especial e procuramos entender toda a dinâmica

Leia mais

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS WALLACE BORGES CRISTO 1 JOÃO CARLOS PEIXOTO FERREIRA 2 João Paulo Coelho Furtado 3 RESUMO A Tecnologia da Informação (TI) está presente em todas as áreas de

Leia mais

Universidade Federal do Espírito Santo Centro de Ciências Agrárias CCA-UFES Departamento de Computação

Universidade Federal do Espírito Santo Centro de Ciências Agrárias CCA-UFES Departamento de Computação Centro de Ciências Agrárias Departamento de Computação Visão Geral do Processo de Desenvolvimento de Software Introdução à Ciência da Computação Introdução à Ciência da Computação COM06850-2015-II Prof.

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA SOLUÇÃO SISTÊMICA BASEADA EM CÓDIGO ABERTO PARA DEFESA E MITIGAÇÃO DE ATAQUES À APLICAÇÕES WEB. DANIEL ALMEIDA DE PAULA BRASÍLIA

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

Desenvolvendo Websites com PHP

Desenvolvendo Websites com PHP Desenvolvendo Websites com PHP Aprenda a criar Websites dinâmicos e interativos com PHP e bancos de dados Juliano Niederauer 19 Capítulo 1 O que é o PHP? O PHP é uma das linguagens mais utilizadas na Web.

Leia mais

1 Introdução 1.1. Segurança em Redes de Computadores

1 Introdução 1.1. Segurança em Redes de Computadores 1 Introdução 1.1. Segurança em Redes de Computadores A crescente dependência das empresas e organizações modernas a sistemas computacionais interligados em redes e a Internet tornou a proteção adequada

Leia mais

TERMO DE REFERÊNCIA TÍTULO: Termo de Referência para contratação de ferramenta case de AD. GECOQ Gerência de Controle e Qualidade 1/9

TERMO DE REFERÊNCIA TÍTULO: Termo de Referência para contratação de ferramenta case de AD. GECOQ Gerência de Controle e Qualidade 1/9 TÍTULO: ASSUNTO: GESTOR: TERMO DE REFERÊNCIA Termo de Referência para contratação de ferramenta case de AD DITEC/GECOQ Gerência de Controle e Qualidade ELABORAÇÃO: PERÍODO: GECOQ Gerência de Controle e

Leia mais

O Que Fazer Se Houver Comprometimento Programa de Segurança da Informação da Conta (AIS) Fevereiro de 2006

O Que Fazer Se Houver Comprometimento Programa de Segurança da Informação da Conta (AIS) Fevereiro de 2006 Programa de Segurança da Informação da Conta (AIS) Fevereiro de 2006 Região Introdução...3 Reportando a Quebra de Segurança...4 Passos e Exigências para as Entidades Comprometidas...5 Passos e Exigências

Leia mais

Rational Quality Manager. Nome: Raphael Castellano Campus: AKXE Matrícula: 200601124831

Rational Quality Manager. Nome: Raphael Castellano Campus: AKXE Matrícula: 200601124831 Rational Quality Manager Nome: Raphael Castellano Campus: AKXE Matrícula: 200601124831 1 Informações Gerais Informações Gerais sobre o RQM http://www-01.ibm.com/software/awdtools/rqm/ Link para o RQM https://rqmtreina.mvrec.local:9443/jazz/web/console

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Garantia de Processo Leis de Lehman Manutenção de Softwares

Garantia de Processo Leis de Lehman Manutenção de Softwares Garantia de Processo Leis de Lehman Manutenção de Softwares Garantia de Processo Acidentes são eventos raros em sistemas críticos e pode ser impossível simulá-los durante testes de um sistema. Requisitos

Leia mais

Serviços Ibama Certificação Digital

Serviços Ibama Certificação Digital Guia da nos 1. Informações Gerais Objetivando garantir mais segurança ao acesso dos usuários dos Serviços do Ibama, foi estabelecido desde o dia 1º de janeiro de 2014, o acesso por meio de certificação

Leia mais

A IMPORTÂNCIA DA ATIVIDADE DE TESTE NO DESENVOLVIMENTO DE SOFTWARE

A IMPORTÂNCIA DA ATIVIDADE DE TESTE NO DESENVOLVIMENTO DE SOFTWARE A IMPORTÂNCIA DA ATIVIDADE DE TESTE NO DESENVOLVIMENTO DE SOFTWARE Karla Pires de Souza (FPM ) karlapsouza@hotmail.com Angelita Moutin Segoria Gasparotto (FPM ) angelita@usp.br A atividade de teste de

Leia mais

APLICATIVO PARA ATUALIZAÇÃO EMPRESARIAL

APLICATIVO PARA ATUALIZAÇÃO EMPRESARIAL APLICATIVO PARA ATUALIZAÇÃO AUTOMÁTICA DE UM SISTEMA DE GESTÃO EMPRESARIAL Marlon Gracietti de Amorim Orientador: Prof. Cláudio Ratke Roteiro de apresentação 1.Introdução 2. Objetivos 3. Fundamentação

Leia mais

PLATAFORMA DE DESENVOLVIMENTO PINHÃO PARANÁ MANUAL DE UTILIZAÇÃO DO CVS NO ECLIPSE

PLATAFORMA DE DESENVOLVIMENTO PINHÃO PARANÁ MANUAL DE UTILIZAÇÃO DO CVS NO ECLIPSE PLATAFORMA DE DESENVOLVIMENTO PINHÃO PARANÁ MANUAL DE UTILIZAÇÃO DO CVS NO ECLIPSE Agosto 2007 Sumário de Informações do Documento Tipo do Documento: Manual Título do Documento: MANUAL DE UTILIZAÇÃO DO

Leia mais

Políticas de Qualidade em TI

Políticas de Qualidade em TI Políticas de Qualidade em TI Prof. www.edilms.eti.br edilms@yahoo.com Aula 03 CMMI Capability Maturity Model Integration Parte I Agenda Processos CMMI Definição Histórico Objetivos Características Representações

Leia mais