Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Transcrição

1 Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro

2 ABNT NBR ISO/IEC Aquisição, desenvolvimento e manutenção de sistemas de informação

3 O desenvolvimento de um SI Ciclo de desenvolvimento de um SI:

4 Desenvolvimento em prototipagem

5 Política de desenvolvimento seguro Deve-se estabelecer regras de segurança para o desenvolvimento de sistemas e softwares. Considerar os seguintes aspectos: Segurança no ambiente de desenvolvimento; Segurança no ciclo de vida de desenvolvimento: Segurança na metodologia de desenvolvimento; Diretrizes de código segura para cada linguagem de programação usada.

6 Política de desenvolvimento seguro Pontos de verificação de segurança no cronograma do projeto; Repositórios seguros; Controle de versões.

7 Controle de mudanças de sistemas Mudanças no ciclo de vida de desenvolvimento devem ser controladas por procedimentos formais; Deve-se garantir a integridade do sistema através de um esquema de manutenção; A introdução de mudanças ou novos sistemas deve seguir um processo formal: Documentação, especificação, teste, controle de qualidade e gestão da implementação.

8 Controle de mudanças de sistema As mudanças só podem ser submetidas por usuários autorizados; Garantir que as mudanças sejam aceitas antes da implementação; Manutenção de uma trilha de auditoria para as mudanças solicitadas; Mudanças não podem interferir nos processos de negócio envolvidos.

9 Restrições de mudanças em pacotes de Software Mudanças em pacotes de software devem ser desencorajadas ou limitadas quando necessárias. Utilizar softwares de terceiros sem modificações; Quando as modificações forem necessárias considerar: Risco do comprometimento da integridade; Consentimento do fornecedor; Fornecedor ser responsável por modificações; Compatibilidade com outros softwares em uso.

10 Ambiente seguro para desenvolvimento O ambiente de desenvolvimento deve ser adequado e protegido (pessoas, processos e tecnologia). Considerar: Sensibilidade dos dados a serem processados; Requisitos internos e externos aplicáveis; Confiabilidade das pessoas que trabalham; Grau de terceirização do ambiente; Controle de acesso; Backups em locais seguros e externos.

11 Desenvolvimento terceirizado Ao se terceirar sistemas, deve-se considerar: Acordos de licença, propriedade do código e propriedade intelectual; Requisitos de segurança; Testes de aceitação à qualidade e exatidão; Acordo de garantia; Documentação efetiva para realizar entregas.

12 Teste de segurança Todas as funcionalidades de segurança devem ser testadas! Os testes devem ser realizados antes da implantação do sistema; Verificar se o sistema está de acordo com as especificações.

13 Dados para teste Dados usados para testes devem ser selecionados com cuidado, protegidos e controlados! Não convém usar banco de dados operacionais com informações pessoais ou confidenciais; Caso necessário, proteger contra remoção ou modificação; O uso de informação operacional em testes deve ser autorizado; Após os testes, a informação operacional deve ser removida do ambiente de testes.

14 Exemplo Secunia Personal Software Inspector

15 ABNT NBR ISO/IEC Relacionamento na cadeia de suprimento

16 Segurança na cadeia de suprimento Organização e fornecedores possuem um relacionamento que prevê troca de informações! Ativos acessíveis pelos fornecedores devem ser protegidos. Identificar e documentos os tipos de fornecedores; Padronizar um processo para as relações com fornecedores; Determinar tipo de acesso para cada fornecedor;

17 Segurança na cadeia de suprimento Obrigações dos fornecedores para proteger informações; Tratamento de incidentes associados com acesso do fornecedor; Treinamento do pessoal interno envolvido com fornecedores;

18 Cadeia de suprimentos na TI Os riscos de segurança devem ser contemplados através de acordos! A aplicação de práticas de segurança da informação deve ser apresentada pelos fornecedores; Garantia de que componentes sejam entregues em funcionados e em conformidade com o esperado;

19 Gestão de mudanças de serviços com fornecedor A política de segurança da informação relativa aos fornecedores deve ser atualizada sempre que necessário; Mudanças de acordos; Alterações de políticas internas; Novos controles de segurança; Uso de novas tecnologias; Novos ambientes de desenvolvimento; Mudanças físicas.

20 Atividade Secunia PSI: Como este software pode auxiliar no cumprimentos de políticas de segurança da informação baseadas na norma 27002?