Implementando Segurança em desenvolvimento com a verdadeira ISO
1. Implementando Segurança em
desenvolvimento com a
verdadeira ISO
31 de Agosto de 2012 - Rio de Janeiro
Monday, September 3, 2012
2. Esta é a ISO para Segurança em
Desenvolvimento que você conhece?
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
3. Por que não é a adequada?
Foco em controles, no estado de segurança
da aplicação, mas não apresenta nenhuma
abordagem para o processo de
desenvolvimento de software
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
4. O que é um Software Security
Assurance (SSA)
Processo que implementa práticas que irão
aumentar o nível de segurança dos
softwares desenvolvidos
Práticas
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
5. Práticas de um Software Security
Assurance (SSA) - Governança
Práticas que ajudam a organizar, gerenciar
e medir a iniciativa em segurança de
software. Desenvolvimento da equipe é
uma prática central de governança
Governança
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
6. Práticas de um Software Security
Assurance (SSA) - Construção
Práticas que resultam numa coleção de
conhecimento corporativo usado para
realizar as atividades de segurança de
software pela organização
Construção
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
7. Práticas de um Software Security
Assurance (SSA) - Verificação
Atividades de análise e testes de segurança
de software que irão validar se a aplicação
atende os requisitos de segurança
estabelecidos
Verificação
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
8. Práticas de um Software Security
Assurance (SSA) - Implementação
Práticas que integram o processo de
desenvolvimento e áreas de segurança de
rede e manutenção de software
Implementação
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
9. Papéis e Responsabilidades de um
Software Security Assurance (SSA)
Papéis Responsabilidades
Responsável pela operação do Processo
Gestores de Segurança em Desenvolvimento de
Software
Entender os Requisitos de Segurança e
Desenvolvedores
implementar os controles
Verificar se os controles atendem os perfis
Auditores
de riscos aceitáveis pela organização
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
10. O que é uma ISO
Desenvolvida por vários comitês
espalhados pelo mundo. Busca atender as
expectativas de todas as partes:
‣ Gerentes
‣ Times de Operações e Projetos
‣ Auditores
‣ Usuários
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
11. Sistema de Gestão para Segurança de
Aplicações com a ISO/IEC 27034:2011
‣Padrão separado em 6 partes para
organizações integrarem segurança em
desenvolvimento de aplicações
‣Define que segurança de aplicações não é
um estado mas sim um processo que
busca endereçar controles de segurança a
todas as fases do desenvolvimento
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
12. Um pouco sobre a Parte 1 lançada
em Novembro de 2011
‣Apresenta princípios, conceitos e
processos envolvidos em segurança de
aplicações
‣Desenvolvida para ser adotada junto com
outros padrões da Série 27000
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
13. Um pouco sobre a Parte 1 lançada
em Novembro de 2011
Atende a todas perspectivas de quem
consome software:
‣ Desenvolvimento in-house
‣ Outsource de Desenvolvimento
‣ Quem Adquire Software de Terceiros
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
14. Princípios de Segurança de
Aplicações segundo a ISO
‣ Segurança é um Requisito
‣Que deve ser analisado e definido para
cada cenário
‣ Depende do Contexto
‣Qual a infraestrura envolvida? Quais
padrões e requisitos deve atender?
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
15. Princípios de Segurança de
Aplicações segundo a ISO
‣ Investimento Apropriado
‣Você deve investir em segurança de
acordo com o perfil de risco necessário
‣ Apresentar os Benefícios da Adoção
‣Evidências do processo devem ser
geradas e apresentadas
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
16. Conceitos
‣ Application Target Level of Trust
(LoT): Nível de Risco Aceitável para cada
aplicação
‣ Application Security Control (ASC):
Controles implementados para manter a
aplicação dentro dos níveis aceitáveis pela
organização
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
17. Application Security Management
Process (ASMP)
LoT Normativos e Orientação LoT = Application
Desejado Prescritiva de Suporte Target Level of Trust
Analisar os Riscos da
Operação da Aplicação
Aplicação
Identificar os Requisitos
da Aplicação e Ambiente
Verificar a Seguranção
da Aplicação
LoT ✓
Atingido
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
18. O que vem por aí
‣Part 2: Organization normative framework
‣Part 3: Application security management process
‣Part 4: Application security validation
‣Part 5: Protocols and application security controls datastructure
‣Part 6: Security guidance for specific applications (if needed)
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
19. Part 2: Organization normative
framework
Descreve como implementar o Application Security
Management Process (ASMP)
Draft
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
20. Part 3: Application security
management process
Descreve a inter-dependencia e as características de um
processo de segurança em desenvolvimento
Em proposição
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
21. Part 4: Application security
validation
Irá apresentar um framework para avaliação e certificação do
processo de segurança em desenvolvimento de software
Em proposição
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
22. Part 5: Protocols and application
security controls datastructure
Irá definir um padrão estruturado (XML) para os Application
Security Control (ASC)
Em proposição
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
23. Part 6: Security guidance for specific
applications (if needed)
Irá apresentar Controles de Segurança para Requisitos
específicos de acordo com o modelo de aplicação
Draft
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
24. A ISO e o OpenSAMM para avaliar o
nível de maturidade
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
25. Agora você já sabe qual é a ISO certa
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012
26. Obrigado
welias@conviso.com.br
@welias
Monday, September 3, 2012
27. Referências
‣ ISO: http://www.iso.org
‣ OpenSAMM: http://www.opensamm.org
‣ BSIMM: http://bsimm.com
Segurança em Desenvolvimento como Diferencial Competitivo
Monday, September 3, 2012