Este documento discute a importância da qualidade para a segurança digital. Apresenta que investimentos em qualidade de software reduzem problemas de segurança, mesmo que segurança não tenha sido o objetivo. Também discute que qualidade e segurança devem ser consideradas desde o início do desenvolvimento de software. Finalmente, propõe que pessoas, processos e ferramentas são necessários para entregar resultados de qualidade.

1. Engineeringfor digital security
Segurança através da Qualidade
Security!3V3NTZ#
2 de dezembro de 2014

2. Agenda
•Multicert
•Qualidade
•Qualidade e Segurança
•Custos da Qualidade
•Sintomas
•O que fazer
•Pessoas
•Processos
•Ferramentas
•Resultados

3. MULTICERT

4. Qualidade
Software quality is a field of study and practice that describes the desirable attributes of software products.
Two approaches to software quality are prevalent: DefectManagement Approach; QualityAttributesApproach.
02/12/2014 Copyright © 2002-2014 Multicert S.A. All rights reserved. 4
The degree to which a set of inherent characteristics fulfills requirements
1.The degree to which a system, component, or process meets specified requirements.
2.The degree to which a system, component, or process meets customer or user needs or expectations.

5. Qualidade e Segurança
It has been shown that investments in software quality will reduce the incidence of computer security problems, regardless of whether security was a target of the quality program or not.
Ross Anderson, Security Engineering
Software security relates entirely and completely to quality. You must think about security, reliability, availability, dependability —at the beginning, in the design, architecture, test and coding phases, all through the software life cycle.
GaryMcGraw, Computerworld

6. Custo da Qualidade
Custo da Qualidade = Custos da Conformidade + Custo da não conformidade
PMBOK 5º Edição
Conformidade
•Prevenção
•Treino
•Documentação
•Verificação
•Ferramentas
•Auditoria
•Testes
•Inspeções
Não Conformidade
•Internos
•Retrabalho
•Externos
•Perda de Imagem
•Indeminizações
•Perdas de Negócio
•Manutenção

7. Sintomas
•Falha nos compromissos: Atraso nas entregas, noitadas, custos descontrolados
•Falta de visibilidade para a gestão.

8. O que fazer?
Pessoas
Processos
Ferramentas

9. Pessoas
•Seguem os processos e políticas da organização
•Treino continuo: Processos, segurança
•Cultura: Compromisso, melhoria continua, executar
•Desafio: Gestão da Mudança
Processo sem Pessoas -> Tinta e Papel

10. Processos
•Descreve quem faz o que, quando e como.
•Trabalhar melhor ≠ Trabalhar mais
•Acumula a experiência e conhecimento
•Deve Medir (e.g. Prazo, Custo, Qualidade)
Pessoas sem processo-> Resultados sem eficiência

11. Ferramentas
•Automatizam a facilitam aexecução
•Aumentam a eficiência
•É necessário integrar
•Exemplo: Gestão de Requisitos, Geração de Métricas, Gestão de Versões
Ferramentas potenciam a eficiência -> mas não criam resultados

12. Resultados
•Base para melhorar
•Clientes mais satisfeitos
•Recursos humanos mais satisfeitos
•Produtos ajustados ao negócios
•Maior controlo sobre a qualidade
•Visibilidade para a gestão

13. Engineeringfor digital security