PCI DSS e Metodologias Ágeis
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

PCI DSS e Metodologias Ágeis

on

  • 405 views

É possível desenvolver software utilizando metodologias ágeis e manter a conformidade com os requerimentos de desenvolvimento seguro da norma PCI DSS?

É possível desenvolver software utilizando metodologias ágeis e manter a conformidade com os requerimentos de desenvolvimento seguro da norma PCI DSS?

Statistics

Views

Total Views
405
Views on SlideShare
401
Embed Views
4

Actions

Likes
1
Downloads
8
Comments
0

2 Embeds 4

http://www.linkedin.com 2
https://www.linkedin.com 2

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Nãoiremosdiscutiroscontextos e projetosondemetodologiaságeissãomaisadequadasNãoiremosdiscutirqual o perfil ideal do time paraadotarmetodologiaságeis
  • Model waterfalloucascataMaioraderência a modelos de gestão de projetostradicionaisPrevisibilidade no uso de recursosdurante o projetoPré-requisitos e entregáveisbemdefinidosparacadaetapaBemadequadaparagestão do projeto
  • Na realidade a convergênciasobre o papel do software e seusrequisitosnãoaconteceporqueninguémétotalmenteenvolvido do começoaofim
  • Foco no software, não no processoNãobrigarporcontrato, escopo, planejamentoAdmitirquemuitasvezesnãosabemosexatamente o queestamosconstruindoEnvolvertodosospapéisdurantetodo o processo de desenvolvimentoCiclosaoinvés de etapas
  • Típico board de rastreamento de atividadesemumaequipequeutiliza Scrum
  • Existem MUITOS requisitos de segurança, evários deles dizemrespeito a etapa de desenvolvimento e teste, comoosváriospontos do item 6.5. Sob a perspectiva do desenvolvimentoágil, no entanto, o item 6.4.5 parececontraditório com o desenvolvimentoágil.
  • As coisasnãoparecemmuitopromissoraspara a combinação de software ágil + desenvolvimento
  • Quasenenhumadocumentaçãosobre agile + DSS emgeralUnião dos doismundosNãoexiste um documentopara SDL + agile + DSS,trabalhofoifeitoatravés da análise de ambos osdocumentos
  • Dividir as atividadesporperiodicidadepermitequeos sprints continuemrápidos, porquenemtodas as atividadesprecisamserrepetidas a cada sprint
  • Treinamentobásico de segurançadeveacontecerpelomenos UMA VEZ AO ANO

PCI DSS e Metodologias Ágeis Presentation Transcript

  • 1. © 2012 Presented by: A Segurança Está Atrasando Seu Desenvolvimento Ágil de Software? Ulisses Albuquerque Consultor de Segurança
  • 2. © 2012 $ whois urma • Ulisses Albuquerque – Consultor de Segurança (Aplicações) • Testes de intrusão • Revisão de código • Treinamento em desenvolvimento seguro – Desenvolvedor • Scrummaster, facilitador, product owner • Experiência de aplicações a device drivers
  • 3. © 2012 Agenda • Conceitos – Manifesto Ágil – Desenvolvimento Ágil de Software – SDLC Seguro • PCI DSS 2.0 e o SDLC Seguro • Incompatibilidades e Workarounds • Conclusão
  • 4. © 2012© 2012 DISCLAIMER Essa não é uma apresentação sobre os méritos do desenvolvimento ágil.
  • 5. © 2012© 2012 Conceitos
  • 6. © 2012 https://en.wikipedia.org/wiki/File:Waterfall_model_(1).svg
  • 7. © 2012 http://ramsis-hi.wikispaces.com/SDLC
  • 8. © 2012 Conceitos • Movimento ágil – Resposta à baixa qualidade do software desenvolvido – Foco no software, não no processo
  • 9. © 2012© 2012 Individuals and interactions over processes and tools Working software over comprehensive documentation Customer collaboration over contract negotiation Responding to change over following a plan
  • 10. © 2012 https://en.wikipedia.org/wiki/File:Scrum_process.svg
  • 11. © 2012 http://amareshv.wordpress.com/2011/03/01/sample-scrum-board/
  • 12. © 2012 http://dilbert.com/strips/comic/2007-11-26/
  • 13. © 2012 Conceitos • SDLC seguro – Software Development Life Cycle – Segurança em todas as etapas do desenvolvimento de software
  • 14. © 2012 Conceitos Requisitos Requisitos de Segurança e Privacidade Design Modelagem de ameaças Revisão de segurança do design Desenvolvimento Análise estática Revisão de código Teste Casos de teste de segurança Análise dinâmica Deploy Revisão final de segurança Plano de monitoramento e resposta a incidente https://www.microsoft.com/security/sdl/default.aspx
  • 15. © 2012© 2012 PCI DSS 2.0 e o SDLC Seguro
  • 16. © 2012 PCI DSS 2.0 e o SDLC Seguro • Requisito 6: Desenvolver e manter sistemas e aplicativos seguros – 6.3 Desenvolver aplicativos de software (internos e externos, incluindo acesso administrativo pela web nos aplicativos) de acordo com o PCI DSS (por exemplo, o e registro seguros) e com base nas melhores ticas do setor. Incorporar segurança de o ao longo do ciclo de vida do desenvolvimento do software.
  • 17. © 2012 PCI DSS 2.0 e o SDLC Seguro • Requisito 6: Desenvolver e manter sistemas e aplicativos seguros – 6.3 Desenvolver aplicativos de software (internos e externos, incluindo acesso administrativo pela web nos aplicativos) de acordo com o PCI DSS (por exemplo, o e registro seguros) e com base nas melhores ticas do setor. Incorporar segurança de o ao longo do ciclo de vida do desenvolvimento do software.
  • 18. © 2012 PCI DSS 2.0 e o SDLC Seguro • Os aspectos relevantes são discutidos no detalhamento dos requisitos – Requisito 6.4.5 é o mais crítico para equipes ágeis
  • 19. © 2012 PCI DSS 2.0 e o SDLC Seguro • 6.4.5 Alterar os procedimentos de controle para o de patches de segurança e es de software. Os procedimentos devem incluir o seguinte: – 6.4.5.1 Documentação de impacto. – 6.4.5.2 Aprovação documentada de alteração pelas partes autorizadas. – 6.4.5.3 Teste de funcionalidade para verificar se a alteração não tem impacto adverso sobre a segurança do sistema. – 6.4.5.4 Procedimentos de reversão.
  • 20. © 2012© 2012 Incompatibilidades e Workarounds
  • 21. © 2012 Incompatibilidades e Workarounds • Metodologias ágeis – Foco no software – “Burocracia” minimizada • PCI DSS – Rastreabilidade – Análise de risco – Cautela Incompatíveis?
  • 22. © 2012 Incompatibilidades e Workarounds • Desenvolvimento ágil + SDLC seguro – “Agile Software Development Doesn’t Create Secure Software” – “Agile Software Development: The Straight and Narrow Path to Secure Software?” • PCI DSS 2.0 – Nem todo SDLC seguro atende a todos os requisitos
  • 23. © 2012 Incompatibilidades e Workarounds • SDL para Desenvolvimento Ágil – Microsoft Security Development Lifecycle • SDL para PCI DSS – “SDL and PCI DSS/PA-DSS: Aligning security practices and compliance activities”
  • 24. © 2012 Incompatibilidades e Workarounds Práticas por projeto Práticas eventuais Práticas por sprint
  • 25. © 2012 Incompatibilidades e Workarounds Liberação Verificação Implementação Design Requisitos Treinamento Treinamento básico de segurança
  • 26. © 2012 Incompatibilidades e Workarounds Liberação Verificação Implementação Design Requisitos Treinamento Requisitos de segurança (PP) Portões de qualidade/barras de erro (PE) Avaliação de riscos de segurança e privacidade (PP)
  • 27. © 2012 Incompatibilidades e Workarounds Liberação Verificação Implementação Design Requisitos Treinamento Requisitos de design (PP) Análise da superfície de ataque (PP) Modelagem de ameaças (PS)
  • 28. © 2012 Incompatibilidades e Workarounds Liberação Verificação Implementação Design Requisitos Treinamento Utilizar ferramentas aprovadas (PS) Desaprovar funções não seguras (PS) Análise estática (PS)
  • 29. © 2012 Incompatibilidades e Workarounds Liberação Verificação Implementação Design Requisitos Treinamento Análise dinâmica (PE) Teste de fuzzing (PE) Revisão da superfície de ataque (PE)
  • 30. © 2012 Incompatibilidades e Workarounds Liberação Verificação Implementação Design Requisitos Treinamento Plano de resposta de incidentes (PP) Revisão final de segurança (PS) Liberar arquivo (PS)
  • 31. © 2012© 2012 Conclusão
  • 32. © 2012 Conclusão • Desenvolvimento seguro e ágil é possível – …se sua equipe é realmente ágil e não desorganizada • Agilidade não é contra processos – Agilidade é contra esforço sem valor – Clientes pagam pelo software, não pelo processo
  • 33. © 2012 Conclusão • Trustwave pode ajudar – Adequações e workarounds baseados em caso real – Treinamento de desenvolvimento seguro – Revisão de código – 360 Application Security
  • 34. © 2012© 2012 Perguntas?
  • 35. © 2012 Trustwave SpiderLabs SpiderLabs is an elite team of ethical hackers at Trustwave advancing the security capabilities of leading businesses and organizations throughout the world. Mais informações: Web: https://www.trustwave.com/spiderlabs Blog: http://blog.spiderlabs.com/ Twitter: @SpiderLabs