ATPS Desenvolvimento De Software Seguro 4º Semestre

FACULDADE ANHANGUERA DE BELO HORIZONTE

SISTEMAS DE INFORMAÇÃO

ETAPAS 1, 2 E 3

PROFESSOR: VIRGIL ALMEIDA

DISCIPLINA: DESENVOLVIMENTO DE SOFTWARE SEGURO

ALINE CRISTINA DE LIMA BARBOSA. RA: 5212959046

ISAIAS DA PIEDADE. RA: 5210957239

LEANDRO AUGUSTO SODRÉ DE ARAÚJO. RA: 5212962049

Belo Horizonte

2014

ÍNDICE

ETAPA 1 02

Passo 1 (Aluno) 02

Passo 2 (Equipe) 02

Passo 3 (Aluno) 02

Passo 4 (Equipe) 05

ETAPA 2 06

Passo 1 (Equipe) 06

Passo 2 (Equipe) 06

Passo 3 (Equipe) 07

Passo 4 (Equipe) 10

ETAPA 3 13

Passo 1 (Equipe) 13

Passo 2 (Equipe) 13

Passo 3 (Equipe) 15

Passo 4 (Equipe) 15

Referências 18

ETAPA - 1

Passo 1 (Aluno)

Realizado

Passo 2 (Equipe)

Na fase de requisitos:

Economia de mecanismos: Manutenção do desenho simples e menos complexo.

Na fase de projeto:

Proteção do ambiente de desenvolvimento: Proteger o ambiente de desenvolvimento para que não "vaze" informações importantes referente ao processo de desenvolvimento do software.

Na fase de implementação:

Validação de segurança na aplicação desenvolvida: Restringir acesso as informações contidas no software.

Na fase de Testes:

Mínimo de privilégios:Direitos mínimos e acesso a usuários explicitamente concedidos.

Na fase de manutenção:

Padrões de falhas seguras:Acesso negado por padrão, e garantido explicitamente

Passo 3 (Equipe)

Relatório 1: Desenvolvendo Softwares Seguros

O fato de que dados/informações representam algo invisível, abstrato, colabora para que a maioria das empresas não os considere algo a ser protegido - embora, curiosamente, dependam deles para sobreviver. Outro argumento é de que segurança da informação não gera receita direta. Contudo, investir em segurança da informação é importante. São custos justificados quando levados em conta os benefícios agregados.  

É necessário cuidar das informações de uma empresa porque o conjunto destas, formam um bem de grande valor. Como em um seguro de veículos, onde a relação entre o custo da apólice e o prejuízo evitado no caso de ocorrer um sinistro, segurança da informação também vale o quanto pesa.

O sucesso de um programa de segurança da informação reside em se tomar uma posição preventiva contra as ameaças e riscos de segurança, reduzindo os pontos vulneráveis para evitar que estas fraquezas sejam utilizadas contra a organização. Profissionais da área de segurança da informação estão sempre sob a constante pressão de ter que demonstrar que projetos de segurança produzem retorno sobre investimento, ou seja, que a execução de projetos de segurança da informação trará algum benefício financeiro para a empresa. Entretanto, a natureza das atividades relacionadas à segurança da informação faz com que projeções financeiras desse tipo tornem-se, no mínimo, difíceis de serem realizadas. A atual moda entre fornecedores de equipamentos e prestadores de serviço relacionados à segurança da informação é de que projetos nessa área geram retorno claro sobre seu investimento. Adicionalmente, a lógica imediatista sugere que agora que a segurança da informação está ganhando ampla aceitação como um importante aspecto do negócio, o próximo passo seria haver algum tipo de cálculo ou projeção de retorno que justifique seu investimento em termos negociais. Se os empresários (ou patrocinadores de um projeto de segurança da informação) passarem a adotar esse conceito, eles contarão com algo que simplesmente não existe em sua essência. Os resultados esperados são geralmente calculados com base na prevenção de alguns futuros eventos hipotéticos que, se viessem a ocorrer, teriam alguma implicação financeira igualmente hipotética.

Os benefícios são muito teóricos e incertos para que as empresas possam levá-los a sério como justificativa de investimento por si só. Portanto, não se deve investir em segurança da informação tendo como objetivo ganho financeiro, mas para se impedir que o ganho financeiro que a empresa obtém a partir de sua atividade fim não fique comprometido devido à ocorrência de um incidente de segurança que tenha comprometido as informações de que necessita para conduzir seus processos de negócio.

A segurança, assim como todas as outras áreas de TI, deve ser ampla e holística. Para alcançar este objetivo, as organizações devem iniciar com uma estrutura de políticas básicas sobre a qual todas as outras áreas se apoiarão. Todos os componentes de um programa de segurança devem aderir a essa estrutura. 

Princípios de Segurança da Informação em um contexto de desenvolvimento de software:

- Confidencialidade: proteger informações contra sua divulgação para alguém não autorizado, dentro ou fora da empresa. Na fase de projeto, é salutar que a documentação de requisitos, que contém informações de todos os processos de negócio envolvidos,

...