Implementando Segurança em desenvolvimento com a verdadeira ISO

927 views
838 views

Published on

Apresentação realizada na Sétima Edição do SegInfo no Rio de Janeiro - Brasil.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
927
On SlideShare
0
From Embeds
0
Number of Embeds
7
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Implementando Segurança em desenvolvimento com a verdadeira ISO

  1. 1. Implementando Segurança em desenvolvimento com a verdadeira ISO 31 de Agosto de 2012 - Rio de JaneiroMonday, September 3, 2012
  2. 2. Esta é a ISO para Segurança em Desenvolvimento que você conhece? Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  3. 3. Por que não é a adequada? Foco em controles, no estado de segurança da aplicação, mas não apresenta nenhuma abordagem para o processo de desenvolvimento de software Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  4. 4. O que é um Software Security Assurance (SSA) Processo que implementa práticas que irão aumentar o nível de segurança dos softwares desenvolvidos Práticas Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  5. 5. Práticas de um Software Security Assurance (SSA) - Governança Práticas que ajudam a organizar, gerenciar e medir a iniciativa em segurança de software. Desenvolvimento da equipe é uma prática central de governança Governança Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  6. 6. Práticas de um Software Security Assurance (SSA) - Construção Práticas que resultam numa coleção de conhecimento corporativo usado para realizar as atividades de segurança de software pela organização Construção Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  7. 7. Práticas de um Software Security Assurance (SSA) - Verificação Atividades de análise e testes de segurança de software que irão validar se a aplicação atende os requisitos de segurança estabelecidos Verificação Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  8. 8. Práticas de um Software Security Assurance (SSA) - Implementação Práticas que integram o processo de desenvolvimento e áreas de segurança de rede e manutenção de software Implementação Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  9. 9. Papéis e Responsabilidades de um Software Security Assurance (SSA) Papéis Responsabilidades Responsável pela operação do Processo Gestores de Segurança em Desenvolvimento de Software Entender os Requisitos de Segurança e Desenvolvedores implementar os controles Verificar se os controles atendem os perfis Auditores de riscos aceitáveis pela organização Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  10. 10. O que é uma ISO Desenvolvida por vários comitês espalhados pelo mundo. Busca atender as expectativas de todas as partes: ‣ Gerentes ‣ Times de Operações e Projetos ‣ Auditores ‣ Usuários Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  11. 11. Sistema de Gestão para Segurança de Aplicações com a ISO/IEC 27034:2011 ‣Padrão separado em 6 partes para organizações integrarem segurança em desenvolvimento de aplicações ‣Define que segurança de aplicações não é um estado mas sim um processo que busca endereçar controles de segurança a todas as fases do desenvolvimento Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  12. 12. Um pouco sobre a Parte 1 lançada em Novembro de 2011 ‣Apresenta princípios, conceitos e processos envolvidos em segurança de aplicações ‣Desenvolvida para ser adotada junto com outros padrões da Série 27000 Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  13. 13. Um pouco sobre a Parte 1 lançada em Novembro de 2011 Atende a todas perspectivas de quem consome software: ‣ Desenvolvimento in-house ‣ Outsource de Desenvolvimento ‣ Quem Adquire Software de Terceiros Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  14. 14. Princípios de Segurança de Aplicações segundo a ISO ‣ Segurança é um Requisito ‣Que deve ser analisado e definido para cada cenário ‣ Depende do Contexto ‣Qual a infraestrura envolvida? Quais padrões e requisitos deve atender? Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  15. 15. Princípios de Segurança de Aplicações segundo a ISO ‣ Investimento Apropriado ‣Você deve investir em segurança de acordo com o perfil de risco necessário ‣ Apresentar os Benefícios da Adoção ‣Evidências do processo devem ser geradas e apresentadas Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  16. 16. Conceitos ‣ Application Target Level of Trust (LoT): Nível de Risco Aceitável para cada aplicação ‣ Application Security Control (ASC): Controles implementados para manter a aplicação dentro dos níveis aceitáveis pela organização Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  17. 17. Application Security Management Process (ASMP) LoT Normativos e Orientação LoT = Application Desejado Prescritiva de Suporte Target Level of Trust Analisar os Riscos da Operação da Aplicação Aplicação Identificar os Requisitos da Aplicação e Ambiente Verificar a Seguranção da Aplicação LoT ✓ Atingido Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  18. 18. O que vem por aí ‣Part 2: Organization normative framework ‣Part 3: Application security management process ‣Part 4: Application security validation ‣Part 5: Protocols and application security controls datastructure ‣Part 6: Security guidance for specific applications (if needed) Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  19. 19. Part 2: Organization normative framework Descreve como implementar o Application Security Management Process (ASMP) Draft Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  20. 20. Part 3: Application security management process Descreve a inter-dependencia e as características de um processo de segurança em desenvolvimento Em proposição Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  21. 21. Part 4: Application security validation Irá apresentar um framework para avaliação e certificação do processo de segurança em desenvolvimento de software Em proposição Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  22. 22. Part 5: Protocols and application security controls datastructure Irá definir um padrão estruturado (XML) para os Application Security Control (ASC) Em proposição Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  23. 23. Part 6: Security guidance for specific applications (if needed) Irá apresentar Controles de Segurança para Requisitos específicos de acordo com o modelo de aplicação Draft Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  24. 24. A ISO e o OpenSAMM para avaliar o nível de maturidade Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  25. 25. Agora você já sabe qual é a ISO certa Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012
  26. 26. Obrigado welias@conviso.com.br @weliasMonday, September 3, 2012
  27. 27. Referências ‣ ISO: http://www.iso.org ‣ OpenSAMM: http://www.opensamm.org ‣ BSIMM: http://bsimm.com Segurança em Desenvolvimento como Diferencial CompetitivoMonday, September 3, 2012

×