SlideShare uma empresa Scribd logo

NMRSEG

E
Evandro Costa
1 de 16
Baixar para ler offline
NOTAÇÃO PARA MODELAGEM DE REQUISITOS DE SEGURANÇA (NMRSEG) Evandro Costa Leonardo Lemes Fagundes Universidade do Vale do Rio dos Sinos (UNISINOS) 07/12/2012
2  INTRODUÇÃO  TRABALHOS RELACIONADOS  NMRSEG  ESTUDO DE CASO  CONCLUSÕES Agenda
3 Contextualização: Uso da Business Process Management (BPM) para direcionar os recursos e viabilizar e mensurar a execução das estratégias organzacionais estabelecidas. Os sistemas de notação: Business Process Modeling Notation (BPMN) e o Unified Modeling Language (UML), são utilizados para implementação de BPM.  BPMN: Viabiliza a modelagem de processos de negócios de forma a facilitar a compreensão por parte dos usuários, analistas, desenvolvedores e responsáveis por gerenciar e monitorar estes processos.  UML: Propõe notações, sintaxe e semântica para modelagem de desenvolvimento de sistemas. Introdução
4 Motivadores:  Os processos de negócios e os controles de segurança da informação são desenvolvidos separadamente e, muitas vezes, não seguem a mesma estratégia;  Perdas originadas por retrabalho e ocorrência de incidentes de segurança;  As notações existentes (BPMNSec e UMLSec), apesar de contemplar alguns requisitos de segurança da informação, ainda necessitam de complementação;  Inexistência de um padrão para orientar e formalizar o mapeamento dos requisitos de segurança da informação em processos de negócio. Introdução
5 Definir uma notação para mapeamento de requisitos de segurança da informação em processos de negócio, compatível com a BPMN e que contemple requisitos e melhores práticas de segurança da ABNT NBR ISO/IEC 27002. Objetivo da Pesquisa
6 Trabalhos Relacionados
7 Características Gerais:  Abordagem intuitiva.  Abstrai os aspectos técnicos de Segurança da Informação.  Fundamentada na ABNT NBR ISO/IEC 27002 – Código de Prática para Gestão de Segurança da Informação. NMRSEG
8 Estrutura dos requisitos de segurança da informação: . NMRSEG
9 Contribuições:  Padrão (estrutura) para representar requisitos de Segurança da Informação.  Notação (símbolos).  Estêncil para o Microsoft Visio (aplicação prática). NMRSEG
10 .
11 Foi utilizada a técnica de Amostra por Conveniência. Etapas do Estudo de Caso:  Definição da amostra;  Apresentação das atividades;  Coleta dos feedbacks;  Consolidação dos dados. Participaram 13 alunos, com idade de 20 a 36 anos e experiência de 0 a 5 anos em Segurança da Informação e Modelagem de Processos de Negócio. Estudo de Caso
12 Análise dos dados:  Apenas 20% dos alunos abordaram requisitos diferentes de apenas confidencialidade, integridade e disponibilidade, relacionados à segurança das informações.  Sob uma perspectiva quantitativa, é possível visualizar a opinião dos alunos com relação à experiência em utilizar a NMRSEG. Estudo de Caso
13 Considerações:  A NMRSEG conseguiu auxiliar de forma intuitiva e ágil;  Apresenta um método mais envolvente para aplicar a segurança da informação;  Considerar a segurança da informação no momento da modelagem dos processos de negócio, foi um consenso entre os participantes do estudo de caso;  Dificuldade em entender uma minoria dos símbolos. . Estudo de Caso
14 A NMRSEG contribui com a disseminação da segurança da informação; Apresenta seus requisitos de forma intuitiva e acessível; Facilita a tarefa de identificar e formalizar os requisitos; Abstrai os aspectos técnicos da segurança da informação; Estabelece um método para expansão da representação de requisitos de segurança da informação. Conclusões
15 Trabalhos Futuros:  Modelo de gestão de requisitos de segurança da informação;  Notação textual de requisitos de segurança da informação;  Expansão da NMRSEG;  Expansão do estudo de caso. Conclusões
16 Este trabalho será submetido para o VII Workshop Brasileiro em Gestão de Processos de Negócio que ocorrerá no SBSI. Conclusões

Recomendados

Final Paper_NMRSEG
Final Paper_NMRSEGFinal Paper_NMRSEG
Final Paper_NMRSEG
Evandro Costa
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Bruno Motta Rego
 
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & SegurançaA Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
Centus Consultoria
 
Plano de continuidade dos negócios
Plano de continuidade dos negóciosPlano de continuidade dos negócios
Plano de continuidade dos negócios
Data Security
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de Software
Conviso Application Security
 
Avaliação e melhoria de um protótipo de um Gerador de Código
Avaliação e melhoria de um protótipo de um Gerador de CódigoAvaliação e melhoria de um protótipo de um Gerador de Código
Avaliação e melhoria de um protótipo de um Gerador de Código
José Alves
 
modelagem sistema da informação Unid 3
modelagem sistema da informação Unid 3modelagem sistema da informação Unid 3
modelagem sistema da informação Unid 3
spawally
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
Eduardo Lanna
 

Recomendados

Final Paper_NMRSEG
Final Paper_NMRSEGFinal Paper_NMRSEG
Final Paper_NMRSEG
Evandro Costa
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Bruno Motta Rego
 
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & SegurançaA Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
Centus Consultoria
 
Plano de continuidade dos negócios
Plano de continuidade dos negóciosPlano de continuidade dos negócios
Plano de continuidade dos negócios
Data Security
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de Software
Conviso Application Security
 
Avaliação e melhoria de um protótipo de um Gerador de Código
Avaliação e melhoria de um protótipo de um Gerador de CódigoAvaliação e melhoria de um protótipo de um Gerador de Código
Avaliação e melhoria de um protótipo de um Gerador de Código
José Alves
 
modelagem sistema da informação Unid 3
modelagem sistema da informação Unid 3modelagem sistema da informação Unid 3
modelagem sistema da informação Unid 3
spawally
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
Eduardo Lanna
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
KeySupport Consultoria e Informática Ltda
 
PLM-Summit 2014 | 8-9 abril | Apresentação 07/14 | Evandro Gama | Cadware-Tec...
PLM-Summit 2014 | 8-9 abril | Apresentação 07/14 | Evandro Gama | Cadware-Tec...PLM-Summit 2014 | 8-9 abril | Apresentação 07/14 | Evandro Gama | Cadware-Tec...
PLM-Summit 2014 | 8-9 abril | Apresentação 07/14 | Evandro Gama | Cadware-Tec...
CADWARE-TECHNOLOGY
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web
72security
 
Palestra
PalestraPalestra
Palestra
guest95b6c3
 
Mineração de Dados Aplicada em Engenharia de Software
Mineração de Dados Aplicada em Engenharia de SoftwareMineração de Dados Aplicada em Engenharia de Software
Mineração de Dados Aplicada em Engenharia de Software
Bruno Alisson
 
SCRUM: ADOÇÃO DE UM FRAMEWORK ÁGIL NO DESENVOLVIMENTO DE UM SOFTWARE PARA TRA...
SCRUM: ADOÇÃO DE UM FRAMEWORK ÁGIL NO DESENVOLVIMENTO DE UM SOFTWARE PARA TRA...SCRUM: ADOÇÃO DE UM FRAMEWORK ÁGIL NO DESENVOLVIMENTO DE UM SOFTWARE PARA TRA...
SCRUM: ADOÇÃO DE UM FRAMEWORK ÁGIL NO DESENVOLVIMENTO DE UM SOFTWARE PARA TRA...
Kéllyson Gonçalves da Silva
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
Conviso Application Security
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - Overview
Data Security
 
DevSecOps - Workshop do Bem
DevSecOps - Workshop do BemDevSecOps - Workshop do Bem
DevSecOps - Workshop do Bem
Bruno Dantas
 
Desenvolvimento de um microprocesso utilizando métricas e indicadores como a...
Desenvolvimento de um microprocesso utilizando métricas e indicadores como a...Desenvolvimento de um microprocesso utilizando métricas e indicadores como a...
Desenvolvimento de um microprocesso utilizando métricas e indicadores como a...
Maicon Zerbielli
 
PMO Como ter sucesso na gestao de multiplos empreendimentos
PMO Como ter sucesso na gestao de multiplos empreendimentosPMO Como ter sucesso na gestao de multiplos empreendimentos
PMO Como ter sucesso na gestao de multiplos empreendimentos
Grupo Treinar
 
[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...
[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...
[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...
Rafael Burity
 
Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015
Cisco do Brasil
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360
Tadeu Marcos Fortes Leite
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura
Eduardo Lanna
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura
KeySupport Consultoria e Informática Ltda
 
ERP no Varejo
ERP no VarejoERP no Varejo
ERP no Varejo
EAC Software
 
Usando weka-na-pratica
Usando weka-na-praticaUsando weka-na-pratica
Usando weka-na-pratica
awtb1200
 
Fatores (Des)Motivadores na Adoção de Metodologias Ágeis no Desenvolvimento d...
Fatores (Des)Motivadores na Adoção de Metodologias Ágeis no Desenvolvimento d...Fatores (Des)Motivadores na Adoção de Metodologias Ágeis no Desenvolvimento d...
Fatores (Des)Motivadores na Adoção de Metodologias Ágeis no Desenvolvimento d...
Jairo Junior
 
Business Intelligence
Business Intelligence Business Intelligence
Business Intelligence
Helter Siqueira
 

Mais conteúdo relacionado

Semelhante a NMRSEG

PMO Como ter sucesso na gestao de multiplos empreendimentos
PMO Como ter sucesso na gestao de multiplos empreendimentosPMO Como ter sucesso na gestao de multiplos empreendimentos
PMO Como ter sucesso na gestao de multiplos empreendimentos
Grupo Treinar
 
[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...
[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...
[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...
Rafael Burity
 
Fatores (Des)Motivadores na Adoção de Metodologias Ágeis no Desenvolvimento d...
Fatores (Des)Motivadores na Adoção de Metodologias Ágeis no Desenvolvimento d...Fatores (Des)Motivadores na Adoção de Metodologias Ágeis no Desenvolvimento d...
Fatores (Des)Motivadores na Adoção de Metodologias Ágeis no Desenvolvimento d...
Jairo Junior
 

Semelhante a NMRSEG (20)

(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
PLM-Summit 2014 | 8-9 abril | Apresentação 07/14 | Evandro Gama | Cadware-Tec...
PLM-Summit 2014 | 8-9 abril | Apresentação 07/14 | Evandro Gama | Cadware-Tec...PLM-Summit 2014 | 8-9 abril | Apresentação 07/14 | Evandro Gama | Cadware-Tec...
PLM-Summit 2014 | 8-9 abril | Apresentação 07/14 | Evandro Gama | Cadware-Tec...
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web
 
Palestra
PalestraPalestra
Palestra
 
Mineração de Dados Aplicada em Engenharia de Software
Mineração de Dados Aplicada em Engenharia de SoftwareMineração de Dados Aplicada em Engenharia de Software
Mineração de Dados Aplicada em Engenharia de Software
 
SCRUM: ADOÇÃO DE UM FRAMEWORK ÁGIL NO DESENVOLVIMENTO DE UM SOFTWARE PARA TRA...
SCRUM: ADOÇÃO DE UM FRAMEWORK ÁGIL NO DESENVOLVIMENTO DE UM SOFTWARE PARA TRA...SCRUM: ADOÇÃO DE UM FRAMEWORK ÁGIL NO DESENVOLVIMENTO DE UM SOFTWARE PARA TRA...
SCRUM: ADOÇÃO DE UM FRAMEWORK ÁGIL NO DESENVOLVIMENTO DE UM SOFTWARE PARA TRA...
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - Overview
 
DevSecOps - Workshop do Bem
DevSecOps - Workshop do BemDevSecOps - Workshop do Bem
DevSecOps - Workshop do Bem
 
Desenvolvimento de um microprocesso utilizando métricas e indicadores como a...
Desenvolvimento de um microprocesso utilizando métricas e indicadores como a...Desenvolvimento de um microprocesso utilizando métricas e indicadores como a...
Desenvolvimento de um microprocesso utilizando métricas e indicadores como a...
 
PMO Como ter sucesso na gestao de multiplos empreendimentos
PMO Como ter sucesso na gestao de multiplos empreendimentosPMO Como ter sucesso na gestao de multiplos empreendimentos
PMO Como ter sucesso na gestao de multiplos empreendimentos
 
[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...
[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...
[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...
 
Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura
 
ERP no Varejo
ERP no VarejoERP no Varejo
ERP no Varejo
 
Usando weka-na-pratica
Usando weka-na-praticaUsando weka-na-pratica
Usando weka-na-pratica
 
Fatores (Des)Motivadores na Adoção de Metodologias Ágeis no Desenvolvimento d...
Fatores (Des)Motivadores na Adoção de Metodologias Ágeis no Desenvolvimento d...Fatores (Des)Motivadores na Adoção de Metodologias Ágeis no Desenvolvimento d...
Fatores (Des)Motivadores na Adoção de Metodologias Ágeis no Desenvolvimento d...
 
Business Intelligence
Business Intelligence Business Intelligence
Business Intelligence
 

NMRSEG

  • 1. NOTAÇÃO PARA MODELAGEM DE REQUISITOS DE SEGURANÇA (NMRSEG) Evandro Costa Leonardo Lemes Fagundes Universidade do Vale do Rio dos Sinos (UNISINOS) 07/12/2012
  • 2. 2  INTRODUÇÃO  TRABALHOS RELACIONADOS  NMRSEG  ESTUDO DE CASO  CONCLUSÕES Agenda
  • 3. 3 Contextualização: Uso da Business Process Management (BPM) para direcionar os recursos e viabilizar e mensurar a execução das estratégias organzacionais estabelecidas. Os sistemas de notação: Business Process Modeling Notation (BPMN) e o Unified Modeling Language (UML), são utilizados para implementação de BPM.  BPMN: Viabiliza a modelagem de processos de negócios de forma a facilitar a compreensão por parte dos usuários, analistas, desenvolvedores e responsáveis por gerenciar e monitorar estes processos.  UML: Propõe notações, sintaxe e semântica para modelagem de desenvolvimento de sistemas. Introdução
  • 4. 4 Motivadores:  Os processos de negócios e os controles de segurança da informação são desenvolvidos separadamente e, muitas vezes, não seguem a mesma estratégia;  Perdas originadas por retrabalho e ocorrência de incidentes de segurança;  As notações existentes (BPMNSec e UMLSec), apesar de contemplar alguns requisitos de segurança da informação, ainda necessitam de complementação;  Inexistência de um padrão para orientar e formalizar o mapeamento dos requisitos de segurança da informação em processos de negócio. Introdução
  • 5. 5 Definir uma notação para mapeamento de requisitos de segurança da informação em processos de negócio, compatível com a BPMN e que contemple requisitos e melhores práticas de segurança da ABNT NBR ISO/IEC 27002. Objetivo da Pesquisa
  • 7. 7 Características Gerais:  Abordagem intuitiva.  Abstrai os aspectos técnicos de Segurança da Informação.  Fundamentada na ABNT NBR ISO/IEC 27002 – Código de Prática para Gestão de Segurança da Informação. NMRSEG
  • 8. 8 Estrutura dos requisitos de segurança da informação: . NMRSEG
  • 9. 9 Contribuições:  Padrão (estrutura) para representar requisitos de Segurança da Informação.  Notação (símbolos).  Estêncil para o Microsoft Visio (aplicação prática). NMRSEG
  • 10. 10 .
  • 11. 11 Foi utilizada a técnica de Amostra por Conveniência. Etapas do Estudo de Caso:  Definição da amostra;  Apresentação das atividades;  Coleta dos feedbacks;  Consolidação dos dados. Participaram 13 alunos, com idade de 20 a 36 anos e experiência de 0 a 5 anos em Segurança da Informação e Modelagem de Processos de Negócio. Estudo de Caso
  • 12. 12 Análise dos dados:  Apenas 20% dos alunos abordaram requisitos diferentes de apenas confidencialidade, integridade e disponibilidade, relacionados à segurança das informações.  Sob uma perspectiva quantitativa, é possível visualizar a opinião dos alunos com relação à experiência em utilizar a NMRSEG. Estudo de Caso
  • 13. 13 Considerações:  A NMRSEG conseguiu auxiliar de forma intuitiva e ágil;  Apresenta um método mais envolvente para aplicar a segurança da informação;  Considerar a segurança da informação no momento da modelagem dos processos de negócio, foi um consenso entre os participantes do estudo de caso;  Dificuldade em entender uma minoria dos símbolos. . Estudo de Caso
  • 14. 14 A NMRSEG contribui com a disseminação da segurança da informação; Apresenta seus requisitos de forma intuitiva e acessível; Facilita a tarefa de identificar e formalizar os requisitos; Abstrai os aspectos técnicos da segurança da informação; Estabelece um método para expansão da representação de requisitos de segurança da informação. Conclusões
  • 15. 15 Trabalhos Futuros:  Modelo de gestão de requisitos de segurança da informação;  Notação textual de requisitos de segurança da informação;  Expansão da NMRSEG;  Expansão do estudo de caso. Conclusões
  • 16. 16 Este trabalho será submetido para o VII Workshop Brasileiro em Gestão de Processos de Negócio que ocorrerá no SBSI. Conclusões