5. O SDLC
O SDLC (Ciclo de Vida de
Desenvolvimento de Sistemas, em
inglês Systems Development Life
Cycle) é um dos modelos mais
antigos de organização do
desenvolvimento de software.
As primeiras formas de organizar o desenvolvimento de software surgiram nos anos 70,
quando grandes empresas passaram a adotar sistemas computacionais para automação de
seus processos.
6. Desenvolvimento em Cascata
Verificação
Manutenção
Implementação
Desenho
Requisitos
É o processo ideal quando o escopo
dos requisitos de um software estão
definidos e claros, além de um prazo
para entrega maior estar disponível.
As metodologias tradicionais para criar sistemas tem o objetivo de acompanhar o seu
desenvolvimento, de forma estruturada e metódica, com controles rígidos e sequenciais,
desde o início da ideia até entrega do software final. Esse processo de desenvolvimento
chamamos de cascata e tem o RUP, sigla de Rational Unified Process ou Processo Unificado
da Rational, como o seu mais famoso representante.
7. Implantando Software: Modelo ITIL
Para implantação de mudanças em software dentro de grandes empresas, o uso do processo
de Gestão de Mudanças (GMUD) pregado pelo ITIL (Information Technology Infrastructure
Library) é muito comum. Por meio do registro de uma RDM (Requisição de Mudança), a
solicitação de implantação de uma nova funcionalidade é registrada e passada pela
aprovação de um Comitê, geralmente semanal.
16. O que é DevOps
Focar em pessoas
Abraçar mudanças e experimentações
Cultura
Automação
Medição
Compartilhamento
Entrega Contínua
Infraestrutura como Código
Medir o que for possível
Mostrar as melhorias
Abertura para compartilhamento de informações
Colaboração e comunicação
DevOps é regido por alguns princípios. O mais conhecido é o CAMS,
abreviatura de Culture, Automation, Measurement and Sharing.
29. Por que minha aplicação precisa ser segura?
Para as empresa
✓ Evitar perdas financeiras $$$ diretas
✓ Risco de imagem (perda financeira indireta)
✓ Está OK com os reguladores (PCI, Banco Central etc)
Para você
✓ Poder dormir a noite e ter finais de semana
35. Mas antes, um pouco de história
Vamos conhecer o que é
Segurança da Informação
36. Aspectos CID ou CIA
Os aspectos da CID são o “coração” da Segurança da Informação e norteiam a tomada de
decisão dos times que trabalham nessa área.
38. Domínios da Segurança da Informação
O controle de acesso é geralmente considerado em três etapas: identificação, autenticação
e autorização. As organizações podem possuir parcialmente ou totalmente o controle de
acesso em processo automatizado, combinado com fluxos manuais, onde analisas avaliam
a real necessidade de acesso e conflitos de segregação de função, em inglês Segregation
of Duties – SoD.
Controle de
Acesso
39. Domínios da Segurança da Informação
Os processos de segurança e sua governança por meio de políticas são importantes, pois
contextualizam quais as preocupações que a empresa quer endereçar. Para ser aderente a
padrões de segurança do mercado como ISO 27000 ou PCI, a organização deverá publicar,
manter e controlar políticas, normas e procedimentos de segurança, bem como para
atender a entidades de regulação externa.
Processo de
Segurança
40. Domínios da Segurança da Informação
O plano de continuidade de negócios (PCN) refere-se a arranjos destinados a proteger as
funções críticas de negócios de uma organização contra interrupções causadas por
incidentes ou, pelo menos, minimizar os efeitos. O PCN é essencial para qualquer
organização manter a tecnologia e os negócios alinhados com as ameaças atuais à
continuidade dos negócios.
Continuidade
de Negócios
41. Domínios da Segurança da Informação
Um SOC, sigla em inglês para Security Operation Center, pode ser visto em um primeiro
momento como uma extensão do NOC (Network Operation Center), porém a preocupação é
manter as operações e processos de segurança em execução. Pode ser organizado em
diversos níveis, de maneira comum, em 3, onde cada estágio é responsável por dar sua
tratativa dentro do previsto no processo de resposta a incidentes, de maneira combinada
com a execução das atividades operacionais de segurança.
SOC
42. Domínios da Segurança da Informação
O gerenciamento de riscos é o processo de identificação de vulnerabilidades e ameaças
aos recursos de informação usados por uma organização para atingir seus objetivos de
negócios. Por meio desse processo, é possível decidir quais contramedidas devem ser
adotadas para reduzir os riscos a um nível aceitável, com base no valor da informação para
organização.
Gerenciamento
de Riscos
44. Como organiza-se SI e Cibersegurança
Segurança da Informação
Cibersegurança
A Segurança da Informação geralmente é um conjunto de medidas defensivas, postas em
prática, para garantir que as vulnerabilidades serão tratadas e mitigadas. Já a Segurança
Cibernética também considera as medidas defensivas para dissuadir e impedir as
intenções dos atacantes, mas enfoca nas ações técnicas de desenvolvimento, servidores,
banco de dados, redes, firewalls, não atingindo a esfera estratégica.
46. Diferente do DevOps, existe um manifesto…
Avaliar mais que Dizer Sempre “Não”
Ciência de Dados e Segurança mais que Medo, Incerteza e Dúvida
Contribuição Aberta e Colaboração mais que Somente Requisitos de Segurança
Serviços de Segurança por meio de APIs mais que Controles Obrigatórios e Burocráticos
Avaliações de Segurança Dirigidas ao Negócio mais que Carimbos de Segurança
Testes Ofensivos com Red & Blue Team mais que Confiança em Scans e Vulnerabilidades Teóricas
Monitoração de Segurança Proativo 24x7 mais que Reagir apenas ao ser Informado de um Incidente
Inteligência de Ameaças Compartilhada mais que Manter as Informações para nós mesmos
Operar a Conformidade mais que Checklists e seguir apenas Manuais
devsecops.org
47. Agile sSDLC
DevOps Security
SecDevOps
Agile Security DevOpsSec
Vários nomes para a “mesma coisa”
Engenharia de
Software
Operação de
Tecnologia
Controle de
Qualidade
Segurança
DevOps
Seguro
Rugged DevOps
51. DevSecOps por John Willis
Por anos eu resisti a várias tentativas de mudar o nome
“DevOps”, já que era só um nome. Porém a palavra
DevSecOps funciona, pois esse nome realmente
diferencia a declaração do problema, em um mundo
onde nós não estamos fazendo um ótimo trabalho de
segurança da informação.
54. #2 processos
• Começar com processos
simples
• Gerar indicadores sempre
• Burlar os processos
para colocar as coisas
mais rápido no ar
• Querer automatizar
todos os processos
55. Estratégia & Métricas
Política & Compliance
Orientação & Educação
Avaliação de Ameaça
Requisitos de
Segurança
Arquitetura de
Segurança
Revisão de Design
Revisão da Implantação
Teste de Segurança
Gestão de Problemas
Hardening do Ambiente
Aperfeiçoamento
Operacional
Práticas de Segurança
Governança Construção Verificação Operações
Funções de Negócio
Modelo de Maturidade de Segurança de Software
Software Assurance Maturity Model
56. #3 ferramentas
• Adotar soluções open
source
• Manter as ferramentas
atualizadas
• Não querer gastar $$$
com ferramentas boas
66. Como treinar os desenvolvedores
quem escreve código
Módulo 3
67. Coding Dojo
Um dos melhores investimentos que podem ser feitos é o treinamento dos times, orientado
para como escrever código seguro nas linguagens e tecnologias utilizadas pela empresa.
68. Campeonatos de Segurança
Time com seus troféus do programa Security Champions do LinkedIn
https://engineering.linkedin.com/blog/2018/04/scaling-linkedin-s-security-champions-program
70. Gameficação
Gostamos de ter escolhasAutonomia
Maestria
Feedback
Finalidade
Gostamos de nos preocupar com o que fazemos
Nós gostamos de obter feedback sobre
como estamos fazendo
Significado amplificado o que fazemos
Social Tudo significa mais com os outros
Gameficação não trata de como jogar games no trabalho, embora 70%
dos executivos admitem terem jogados games no trabalho.
71. Hackathons: Participação do Itaú no Roadsec
Um dos melhores investimentos que podem ser feitos é o treinamento dos times, orientado
para como escrever código seguro nas linguagens e tecnologias utilizadas pela empresa.
73. Bug Bounty
Bug Bounty é o pagamento de
uma recompensa, muitas vezes
em dinheiro, pela descoberta de
falhas, especialmente de
segurança.
74. Plataformas de Bug Bounty
DICA! Começar de maneira comedida, com programas de divulgação responsável,
passando por iniciativas fechadas de recompensa, até abertura total ao público
hackerone.com
bugcrowd.com
75. O programa do Facebook
Em 2011 o Facebook começou a distribuir cartões de débito para os ganhadores de
recompensas de vulnerabilidades descobertas.
76. O programa da Netflix
medium.com/netflix-techblog
Netflix levou 5 anos para tornar seu programa de Bug Bounty público
77. Blameless
Blameless é não culpar as pessoas pelas
falhas, mas sim identificar no processo
as falhas e corrigi-las, sem deixar de lado
as responsabilidades inerentes da
função.
Uma cultura Blameless acredita que os
sistemas não são inerentemente seguros e
humanos fazem o melhor para
continuarem funcionando.
78. O incidente do GitLab.com
https://about.gitlab.com/2017/02/01/gitlab-dot-com-database-incident/
79. Fernando Ike, o cara do Blameless
fernandoike.com/tags/blameless/
87. Exemplo: Política de Senhas
Favorecer o usuário: Para começar, torne suas políticas de senha amigáveis ao usuário e
coloque a carga sobre o verificador quando possível. Em outras palavras, precisamos parar
de pedir aos usuários que façam coisas que na verdade não estão melhorando a
segurança.
Tamanho importa: Pelo menos quando se tratam de senhas. As novas diretrizes do NIST
dizem que você precisa de um mínimo de 8 caracteres. (Isso não é um mínimo máximo –
você pode aumentar o comprimento mínimo da senha para contas mais sensíveis).