PCI DSS e Metodologias Ágeis

619 views

Published on

É possível desenvolver software utilizando metodologias ágeis e manter a conformidade com os requerimentos de desenvolvimento seguro da norma PCI DSS?

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
619
On SlideShare
0
From Embeds
0
Number of Embeds
13
Actions
Shares
0
Downloads
14
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • Nãoiremosdiscutiroscontextos e projetosondemetodologiaságeissãomaisadequadasNãoiremosdiscutirqual o perfil ideal do time paraadotarmetodologiaságeis
  • Model waterfalloucascataMaioraderência a modelos de gestão de projetostradicionaisPrevisibilidade no uso de recursosdurante o projetoPré-requisitos e entregáveisbemdefinidosparacadaetapaBemadequadaparagestão do projeto
  • Na realidade a convergênciasobre o papel do software e seusrequisitosnãoaconteceporqueninguémétotalmenteenvolvido do começoaofim
  • Foco no software, não no processoNãobrigarporcontrato, escopo, planejamentoAdmitirquemuitasvezesnãosabemosexatamente o queestamosconstruindoEnvolvertodosospapéisdurantetodo o processo de desenvolvimentoCiclosaoinvés de etapas
  • Típico board de rastreamento de atividadesemumaequipequeutiliza Scrum
  • Existem MUITOS requisitos de segurança, evários deles dizemrespeito a etapa de desenvolvimento e teste, comoosváriospontos do item 6.5. Sob a perspectiva do desenvolvimentoágil, no entanto, o item 6.4.5 parececontraditório com o desenvolvimentoágil.
  • As coisasnãoparecemmuitopromissoraspara a combinação de software ágil + desenvolvimento
  • Quasenenhumadocumentaçãosobre agile + DSS emgeralUnião dos doismundosNãoexiste um documentopara SDL + agile + DSS,trabalhofoifeitoatravés da análise de ambos osdocumentos
  • Dividir as atividadesporperiodicidadepermitequeos sprints continuemrápidos, porquenemtodas as atividadesprecisamserrepetidas a cada sprint
  • Treinamentobásico de segurançadeveacontecerpelomenos UMA VEZ AO ANO
  • PCI DSS e Metodologias Ágeis

    1. 1. © 2012 Presented by: A Segurança Está Atrasando Seu Desenvolvimento Ágil de Software? Ulisses Albuquerque Consultor de Segurança
    2. 2. © 2012 $ whois urma • Ulisses Albuquerque – Consultor de Segurança (Aplicações) • Testes de intrusão • Revisão de código • Treinamento em desenvolvimento seguro – Desenvolvedor • Scrummaster, facilitador, product owner • Experiência de aplicações a device drivers
    3. 3. © 2012 Agenda • Conceitos – Manifesto Ágil – Desenvolvimento Ágil de Software – SDLC Seguro • PCI DSS 2.0 e o SDLC Seguro • Incompatibilidades e Workarounds • Conclusão
    4. 4. © 2012© 2012 DISCLAIMER Essa não é uma apresentação sobre os méritos do desenvolvimento ágil.
    5. 5. © 2012© 2012 Conceitos
    6. 6. © 2012 https://en.wikipedia.org/wiki/File:Waterfall_model_(1).svg
    7. 7. © 2012 http://ramsis-hi.wikispaces.com/SDLC
    8. 8. © 2012 Conceitos • Movimento ágil – Resposta à baixa qualidade do software desenvolvido – Foco no software, não no processo
    9. 9. © 2012© 2012 Individuals and interactions over processes and tools Working software over comprehensive documentation Customer collaboration over contract negotiation Responding to change over following a plan
    10. 10. © 2012 https://en.wikipedia.org/wiki/File:Scrum_process.svg
    11. 11. © 2012 http://amareshv.wordpress.com/2011/03/01/sample-scrum-board/
    12. 12. © 2012 http://dilbert.com/strips/comic/2007-11-26/
    13. 13. © 2012 Conceitos • SDLC seguro – Software Development Life Cycle – Segurança em todas as etapas do desenvolvimento de software
    14. 14. © 2012 Conceitos Requisitos Requisitos de Segurança e Privacidade Design Modelagem de ameaças Revisão de segurança do design Desenvolvimento Análise estática Revisão de código Teste Casos de teste de segurança Análise dinâmica Deploy Revisão final de segurança Plano de monitoramento e resposta a incidente https://www.microsoft.com/security/sdl/default.aspx
    15. 15. © 2012© 2012 PCI DSS 2.0 e o SDLC Seguro
    16. 16. © 2012 PCI DSS 2.0 e o SDLC Seguro • Requisito 6: Desenvolver e manter sistemas e aplicativos seguros – 6.3 Desenvolver aplicativos de software (internos e externos, incluindo acesso administrativo pela web nos aplicativos) de acordo com o PCI DSS (por exemplo, o e registro seguros) e com base nas melhores ticas do setor. Incorporar segurança de o ao longo do ciclo de vida do desenvolvimento do software.
    17. 17. © 2012 PCI DSS 2.0 e o SDLC Seguro • Requisito 6: Desenvolver e manter sistemas e aplicativos seguros – 6.3 Desenvolver aplicativos de software (internos e externos, incluindo acesso administrativo pela web nos aplicativos) de acordo com o PCI DSS (por exemplo, o e registro seguros) e com base nas melhores ticas do setor. Incorporar segurança de o ao longo do ciclo de vida do desenvolvimento do software.
    18. 18. © 2012 PCI DSS 2.0 e o SDLC Seguro • Os aspectos relevantes são discutidos no detalhamento dos requisitos – Requisito 6.4.5 é o mais crítico para equipes ágeis
    19. 19. © 2012 PCI DSS 2.0 e o SDLC Seguro • 6.4.5 Alterar os procedimentos de controle para o de patches de segurança e es de software. Os procedimentos devem incluir o seguinte: – 6.4.5.1 Documentação de impacto. – 6.4.5.2 Aprovação documentada de alteração pelas partes autorizadas. – 6.4.5.3 Teste de funcionalidade para verificar se a alteração não tem impacto adverso sobre a segurança do sistema. – 6.4.5.4 Procedimentos de reversão.
    20. 20. © 2012© 2012 Incompatibilidades e Workarounds
    21. 21. © 2012 Incompatibilidades e Workarounds • Metodologias ágeis – Foco no software – “Burocracia” minimizada • PCI DSS – Rastreabilidade – Análise de risco – Cautela Incompatíveis?
    22. 22. © 2012 Incompatibilidades e Workarounds • Desenvolvimento ágil + SDLC seguro – “Agile Software Development Doesn’t Create Secure Software” – “Agile Software Development: The Straight and Narrow Path to Secure Software?” • PCI DSS 2.0 – Nem todo SDLC seguro atende a todos os requisitos
    23. 23. © 2012 Incompatibilidades e Workarounds • SDL para Desenvolvimento Ágil – Microsoft Security Development Lifecycle • SDL para PCI DSS – “SDL and PCI DSS/PA-DSS: Aligning security practices and compliance activities”
    24. 24. © 2012 Incompatibilidades e Workarounds Práticas por projeto Práticas eventuais Práticas por sprint
    25. 25. © 2012 Incompatibilidades e Workarounds Liberação Verificação Implementação Design Requisitos Treinamento Treinamento básico de segurança
    26. 26. © 2012 Incompatibilidades e Workarounds Liberação Verificação Implementação Design Requisitos Treinamento Requisitos de segurança (PP) Portões de qualidade/barras de erro (PE) Avaliação de riscos de segurança e privacidade (PP)
    27. 27. © 2012 Incompatibilidades e Workarounds Liberação Verificação Implementação Design Requisitos Treinamento Requisitos de design (PP) Análise da superfície de ataque (PP) Modelagem de ameaças (PS)
    28. 28. © 2012 Incompatibilidades e Workarounds Liberação Verificação Implementação Design Requisitos Treinamento Utilizar ferramentas aprovadas (PS) Desaprovar funções não seguras (PS) Análise estática (PS)
    29. 29. © 2012 Incompatibilidades e Workarounds Liberação Verificação Implementação Design Requisitos Treinamento Análise dinâmica (PE) Teste de fuzzing (PE) Revisão da superfície de ataque (PE)
    30. 30. © 2012 Incompatibilidades e Workarounds Liberação Verificação Implementação Design Requisitos Treinamento Plano de resposta de incidentes (PP) Revisão final de segurança (PS) Liberar arquivo (PS)
    31. 31. © 2012© 2012 Conclusão
    32. 32. © 2012 Conclusão • Desenvolvimento seguro e ágil é possível – …se sua equipe é realmente ágil e não desorganizada • Agilidade não é contra processos – Agilidade é contra esforço sem valor – Clientes pagam pelo software, não pelo processo
    33. 33. © 2012 Conclusão • Trustwave pode ajudar – Adequações e workarounds baseados em caso real – Treinamento de desenvolvimento seguro – Revisão de código – 360 Application Security
    34. 34. © 2012© 2012 Perguntas?
    35. 35. © 2012 Trustwave SpiderLabs SpiderLabs is an elite team of ethical hackers at Trustwave advancing the security capabilities of leading businesses and organizations throughout the world. Mais informações: Web: https://www.trustwave.com/spiderlabs Blog: http://blog.spiderlabs.com/ Twitter: @SpiderLabs

    ×