SlideShare une entreprise Scribd logo

Segurança de software na Administração Pública Federal

OWASP Brasília
OWASP Brasília

O documento resume a Norma Complementar 16 (NC16) da Administração Pública Federal brasileira, que estabelece diretrizes para o desenvolvimento e aquisição de software seguro. A NC16 cobre tópicos como requisitos de segurança, controles de segurança, verificação de requisitos e procedimentos contratuais. O objetivo é garantir a obtenção de software seguro nos órgãos e entidades da Administração Pública Federal.

Technologie
1  sur  35
Télécharger pour lire hors ligne
Segurança de Software na APF 1° Encontro OWASP 2013 em Segurança Cibernética
Programação • Motivação • DSIC • IN GSI I e NCs • GT NC16 • NC 16 em detalhe 2
@fabriciobraz • Professor UnB – Arquitetura de Sofware • Padrões de Segurança para Projeto de Software • Rastreabilidade de arquitetura em código • Projetos S-SDLC (SDL, OpenSAMM, BSIMM) • OWASP • NC 16 3
Motivação 4
Estatísticas Domínios Governamentais 5
DSIC • Decreto 5.772 de 08 de maio de 2006 • Decreto 6.931 de 11 de agosto de 2009 • Decreto 7.411 de 29 de dezembro de 2010 Planejar e Coordenar a execução das atividades de Segurança Cibernética e de Segurança da Informação e Comunicações na Administração Pública Federal. 6
Coord DSIC Coordenação-Geral de Elaboração de Normas e Capacitação Gestão de SIC de Servidores, ouvido o Comitê Gestor (CGGSIC) de Segurança da Informação. Coordenação-Geral do Avaliar Acordos Internacionais de Troca Sistema de Segurança e de Informações Classificadas com Credenciamento vistas ao Sistema de Segurança e (CGSISC) Credenciamento. Coordenação-Geral de Centro de Resposta de Tratamento de Incidente Incidentes de Redes da APF. de Redes (CGTIR) 7
Normativos • 13/06/08 IN GSI Nº 1 – Disciplina a GSIC na APF, direta e indireta • 15/10/08 NC 01 – Atividade de normatização. • 14/10/08 NC 02 – Metodologia de GSIC • 03/06/09 NC 03 – Diretrizes para a elaboração de política de SIC na APF. 8
Normativos • 17/10/09 NC 04 – Gestão de riscos de SIC na APF. • 17/10/09 NC 05 – Disciplina a criação de equipes de tratamento e respostas a incidentes em redes computacionais - ETIR nos órgãos e entidades da APF • 23/11/09 NC 06 – Diretrizes para gestão de continuidade de negócios, nos aspectos relacionados à SIC, na APF. 9
Normativos • 07/05/10 NC 07 – Diretrizes para Implementação de controles de acesso relativos à SIC, na APF. • 24/08/10 NC 08 – Diretrizes para gerenciamento de incidentes em redes computacionais na APF. • 22/11/10 NC 09 – Orientações específicas para o uso de recursos criptográficos. 10
Normativos • 10/02/12 NC 10 – Diretrizes para o processo de inventário e mapeamento de ativos de informação, para apoiar a SIC, na APF. • 10/02/12 NC 11 – Diretrizes para avaliação de conformidade nos aspectos relativos à SIC na APF • 10/02/12 NC 12 – Diretrizes e orientações básicas para o uso de dispositivos móveis nos aspectos referentes à SIC na APF 11
Normativos • 10/02/12 NC 13 – Diretrizes para a gestão de mudanças nos aspectos relativos à SIC. • 10/02/12 NC 14 – Diretrizes e orientações básicas para o uso de tecnologias de computação em nuvem nos aspectos referentes à SIC na APF 12
Normativos • 21/05/12 NC 15 – Diretrizes de SIC para o uso de redes sociais nos aspectos referentes à SIC na APF. • 21/11/12 NC 16 – Diretrizes e orientações básicas e orientações básicas para o desenvolvimento e obtenção de software seguro na APF. 13
NC16 • Objetivo – Estabelecer diretrizes de segurança da informação e comunicações para a obtenção de software seguro nos órgãos e entidades da APF. 14
NC16 • Participantes do Grupo de Trabalho 15
NC16 • Princípios na elaboração da norma – Obtenção de software seguro • Desenvolvido internamente • Adquirido via terceiros – Inclusão indiscriminada das entidades da APF • Reunião de diretrizes elementares para um programa de segurança de software • Recomendações e sugestões 16
NC16 • Desenvolvimento (11) • Aquisição (9) 17
NC16 • Estabelecer normas internas baseadas na NC16 para desenv./obtenção de software seguro. Norma Interna - CPD UnB A partir da data de publicação desta norma, o desenvolvimento ou aquisição de qualquer software deve ser precedido da designação do responsável pela definição e validação dos requisitos de segurança de software. Os requisitos de requisitos de segurança devem ser inspirados pela política de segurança da informação da UnB. Desenvolvido Fornecido por internamente terceiros 18
NC16 • Identificar os responsáveis pela definição e validação dos requisitos de segurança que o software deva atender. Comunicado interno O projeto de migração do serviço de localização pelo CEP para REST terá como responsável pelos seus requisitos de segurança o servidor José Silva Desenvolvido internamente 19
NC16 • Definir os requisitos de segurança logo no início de qualquer projeto de desenv. de software. Exemplos de requisitos  Cada atividade do usuário deverá ser rastreada de modo único.  Decisões com falha ou sucesso relacionadas a autorização e autenticação devem ser logadas. Desenvolvido Fornecido por internamente terceiros 20
NC16 • Implementar controles de segurança para proteger os ativos de informação, de acordo com a sua criticidade a ser definida pelos respectivos órgãos e entidades da AP. Exemplos de controles  Validação de entrada  Trilhas de auditoria Desenvolvido internamente 21
NC16 • Usar controles de segurança como componentes, de forma que sejam catalogados e reutilizados em outros sistemas. Exemplos de Componentes  Filtro de controle de acesso - JSF  Componente de autenticação com multiplos fatores Desenvolvido internamente 22
NC16 • Considerar o controle de acesso durante a etapa de desenvolvimento. Desenvolvido internamente 23
NC16 • Implementar os controles de segurança por múltiplas camadas, de acordo com a criticidade das informações tratadas pelo software. Validação de entrada Prepared Statement Permissão mínima usuário BD SQL Injection Desenvolvido internamente 24
NC16 • Considerar o desenvolvimento da arquitetura do software de forma a privilegiar a alta coesão e baixo acoplamento, a facilidade de uso e a não implementação de mecanismos de segurança desnecessários. Desenvolvido internamente 25
NC16 • Construir o software de forma que suas mensagens de erro não revelem detalhes da sua estrutura interna. Desenvolvido internamente 26
NC16 • Verificar o atendimento dos requisitos de segurança do software. Como verificar?  Análise Estática  Análise Dinâmica Desenvolvido Fornecido por internamente terceiros 27
NC16 • Configurar adequadamente o software desenvolvido quando este passar para o ambiente de produção. Desenvolvido internamente 28
NC16 • Instaurar meios que visem o controle da qualidade e precisão do trabalho efetuado de forma a garantir que os requisitos de segurança sejam atendidos. Conformidade  Condicionar a aceitação de produto a correção das falhas de segurança reportadas pelos testes. Fornecido por terceiros 30
NC16 • Estabelecer definições sobre a custódia de código-fonte e manutenção do software em caso de falha da empresa contratada. Fornecido por terceiros 31
NC16 • Definir regras e procedimentos operacionais para a contratada quanto à liberação de acesso aos recursos tecnológicos e ao ambiente físico ou lógico de cada órgão e entidade da APF. Fornecido por terceiros 32
NC16 • Definir as regras para transferência do conhecimento sobre o software desenvolvido, de modo a permitir a sua manutenção, de forma independente, por parte da APF. Fornecido por terceiros 33
NC16 • Todos os procedimentos de segurança descritos pela NC16 devem estar previstos no instrumento contratual correspondente. Fornecido por terceiros 34
Consideração final • Norma Complementar 16 – Ponto de partida para o progresso da APF em segurança de software. – Pode parecer tímida para algumas entidades. – Órgãos de controle. 35
Wrap Up fabraz@unb.br 36

Recommandé

Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Symantec Brasil
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
Kaspersky 2014
Kaspersky 2014Kaspersky 2014
Kaspersky 2014Bravo Tecnologia
 
Introdução à Segurança de Containers e Kubernetes
Introdução à Segurança de Containers e KubernetesIntrodução à Segurança de Containers e Kubernetes
Introdução à Segurança de Containers e KubernetesTenchi Security
 

Recommandé

Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Symantec Brasil
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
Kaspersky 2014
Kaspersky 2014Kaspersky 2014
Kaspersky 2014Bravo Tecnologia
 
Introdução à Segurança de Containers e Kubernetes
Introdução à Segurança de Containers e KubernetesIntrodução à Segurança de Containers e Kubernetes
Introdução à Segurança de Containers e KubernetesTenchi Security
 
Implantação da APF: Obstáculos e Boas Práticas em um Caso Real
Implantação da APF: Obstáculos e Boas Práticas em um Caso RealImplantação da APF: Obstáculos e Boas Práticas em um Caso Real
Implantação da APF: Obstáculos e Boas Práticas em um Caso Realgssimoes
 
APF - Fundamentos, aplicação como base para medição em contratos de software ...
APF - Fundamentos, aplicação como base para medição em contratos de software ...APF - Fundamentos, aplicação como base para medição em contratos de software ...
APF - Fundamentos, aplicação como base para medição em contratos de software ...Fatto Consultoria e Sistemas
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP Brasília
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software SeguroAugusto Lüdtke
 
Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013Kleitor Franklint Correa Araujo
 
Elicitação e Análise
Elicitação e AnáliseElicitação e Análise
Elicitação e AnáliseWilker Bueno de Freitas Rosa
 
APF
APFAPF
APFSm3nd3s29
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
Treinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaTreinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaLeivan Carvalho
 
Curso de APF - Básico
Curso de APF - BásicoCurso de APF - Básico
Curso de APF - BásicoMarcus Costa
 
Fundamentos APF
Fundamentos APFFundamentos APF
Fundamentos APFhumberthomattar
 
Resumo de Técnicas de elicitação de requisitos
Resumo de Técnicas de elicitação de requisitosResumo de Técnicas de elicitação de requisitos
Resumo de Técnicas de elicitação de requisitosAlaide Pitombeira de Freitas, CSM
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
Apresentação sobre Segurança da Informação e Comunicações na APF
Apresentação sobre Segurança da Informação e Comunicações na APFApresentação sobre Segurança da Informação e Comunicações na APF
Apresentação sobre Segurança da Informação e Comunicações na APFSAE - Secretaria de Assuntos Estratégicos da Presidência da República
 
ENCONTRO IPNEWS SDN_PAULO PICHINI
ENCONTRO IPNEWS SDN_PAULO PICHINIENCONTRO IPNEWS SDN_PAULO PICHINI
ENCONTRO IPNEWS SDN_PAULO PICHINIIpnews Portal
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosSymantec Brasil
 
Migração para Software Livre
Migração para Software LivreMigração para Software Livre
Migração para Software LivreMagno A. Cavalcante
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016João Rufino de Sales
 
QualysGuard Policy Manager
QualysGuard Policy ManagerQualysGuard Policy Manager
QualysGuard Policy ManagerSite Blindado S.A.
 

Contenu connexe

En vedette

Implantação da APF: Obstáculos e Boas Práticas em um Caso Real
Implantação da APF: Obstáculos e Boas Práticas em um Caso RealImplantação da APF: Obstáculos e Boas Práticas em um Caso Real
Implantação da APF: Obstáculos e Boas Práticas em um Caso Realgssimoes
 
APF - Fundamentos, aplicação como base para medição em contratos de software ...
APF - Fundamentos, aplicação como base para medição em contratos de software ...APF - Fundamentos, aplicação como base para medição em contratos de software ...
APF - Fundamentos, aplicação como base para medição em contratos de software ...Fatto Consultoria e Sistemas
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP Brasília
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software SeguroAugusto Lüdtke
 
Treinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaTreinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaLeivan Carvalho
 
Curso de APF - Básico
Curso de APF - BásicoCurso de APF - Básico
Curso de APF - BásicoMarcus Costa
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 

En vedette (17)

Implantação da APF: Obstáculos e Boas Práticas em um Caso Real
Implantação da APF: Obstáculos e Boas Práticas em um Caso RealImplantação da APF: Obstáculos e Boas Práticas em um Caso Real
Implantação da APF: Obstáculos e Boas Práticas em um Caso Real
 
APF - Fundamentos, aplicação como base para medição em contratos de software ...
APF - Fundamentos, aplicação como base para medição em contratos de software ...APF - Fundamentos, aplicação como base para medição em contratos de software ...
APF - Fundamentos, aplicação como base para medição em contratos de software ...
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHA
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
 
Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013
 
Elicitação e Análise
Elicitação e AnáliseElicitação e Análise
Elicitação e Análise
 
APF
APFAPF
APF
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento Seguro
 
Treinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaTreinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurança
 
Curso de APF - Básico
Curso de APF - BásicoCurso de APF - Básico
Curso de APF - Básico
 
Fundamentos APF
Fundamentos APFFundamentos APF
Fundamentos APF
 
Resumo de Técnicas de elicitação de requisitos
Resumo de Técnicas de elicitação de requisitosResumo de Técnicas de elicitação de requisitos
Resumo de Técnicas de elicitação de requisitos
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
 
Apresentação sobre Segurança da Informação e Comunicações na APF
Apresentação sobre Segurança da Informação e Comunicações na APFApresentação sobre Segurança da Informação e Comunicações na APF
Apresentação sobre Segurança da Informação e Comunicações na APF
 

Similaire à Segurança de software na Administração Pública Federal

ENCONTRO IPNEWS SDN_PAULO PICHINI
ENCONTRO IPNEWS SDN_PAULO PICHINIENCONTRO IPNEWS SDN_PAULO PICHINI
ENCONTRO IPNEWS SDN_PAULO PICHINIIpnews Portal
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosSymantec Brasil
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016João Rufino de Sales
 
Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT
Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT
Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT Vitor Donaduzzi
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
I International Workshop RFID and IoT - Dia 20 - Visão RFID, Brasil-­‐ID, SIN...
I International Workshop RFID and IoT - Dia 20 - Visão RFID, Brasil-­‐ID, SIN...I International Workshop RFID and IoT - Dia 20 - Visão RFID, Brasil-­‐ID, SIN...
I International Workshop RFID and IoT - Dia 20 - Visão RFID, Brasil-­‐ID, SIN...CPqD
 
Apresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasApresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasTI Safe
 
Transforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovaçãoTransforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovaçãoCisco do Brasil
 
Business intelligence
Business intelligenceBusiness intelligence
Business intelligenceAdolfo Neto
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar OliveiraTI Safe
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoSilvino Neto
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
 
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...TI Safe
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
PCI and PCI DSS Overview
PCI and PCI DSS OverviewPCI and PCI DSS Overview
PCI and PCI DSS OverviewUlisses Castro
 

Similaire à Segurança de software na Administração Pública Federal (20)

ENCONTRO IPNEWS SDN_PAULO PICHINI
ENCONTRO IPNEWS SDN_PAULO PICHINIENCONTRO IPNEWS SDN_PAULO PICHINI
ENCONTRO IPNEWS SDN_PAULO PICHINI
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dados
 
Migração para Software Livre
Migração para Software LivreMigração para Software Livre
Migração para Software Livre
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016
 
QualysGuard Policy Manager
QualysGuard Policy ManagerQualysGuard Policy Manager
QualysGuard Policy Manager
 
Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT
Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT
Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
 
Introducao redes
Introducao redesIntroducao redes
Introducao redes
 
I International Workshop RFID and IoT - Dia 20 - Visão RFID, Brasil-­‐ID, SIN...
I International Workshop RFID and IoT - Dia 20 - Visão RFID, Brasil-­‐ID, SIN...I International Workshop RFID and IoT - Dia 20 - Visão RFID, Brasil-­‐ID, SIN...
I International Workshop RFID and IoT - Dia 20 - Visão RFID, Brasil-­‐ID, SIN...
 
Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
Apresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasApresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA Campinas
 
Transforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovaçãoTransforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovação
 
Business intelligence
Business intelligenceBusiness intelligence
Business intelligence
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
 
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
PCI and PCI DSS Overview
PCI and PCI DSS OverviewPCI and PCI DSS Overview
PCI and PCI DSS Overview
 

Segurança de software na Administração Pública Federal

  • 1. Segurança de Software na APF 1° Encontro OWASP 2013 em Segurança Cibernética
  • 2. Programação • Motivação • DSIC • IN GSI I e NCs • GT NC16 • NC 16 em detalhe 2
  • 3. @fabriciobraz • Professor UnB – Arquitetura de Sofware • Padrões de Segurança para Projeto de Software • Rastreabilidade de arquitetura em código • Projetos S-SDLC (SDL, OpenSAMM, BSIMM) • OWASP • NC 16 3
  • 5. Estatísticas Domínios Governamentais 5
  • 6. DSIC • Decreto 5.772 de 08 de maio de 2006 • Decreto 6.931 de 11 de agosto de 2009 • Decreto 7.411 de 29 de dezembro de 2010 Planejar e Coordenar a execução das atividades de Segurança Cibernética e de Segurança da Informação e Comunicações na Administração Pública Federal. 6
  • 7. Coord DSIC Coordenação-Geral de Elaboração de Normas e Capacitação Gestão de SIC de Servidores, ouvido o Comitê Gestor (CGGSIC) de Segurança da Informação. Coordenação-Geral do Avaliar Acordos Internacionais de Troca Sistema de Segurança e de Informações Classificadas com Credenciamento vistas ao Sistema de Segurança e (CGSISC) Credenciamento. Coordenação-Geral de Centro de Resposta de Tratamento de Incidente Incidentes de Redes da APF. de Redes (CGTIR) 7
  • 8. Normativos • 13/06/08 IN GSI Nº 1 – Disciplina a GSIC na APF, direta e indireta • 15/10/08 NC 01 – Atividade de normatização. • 14/10/08 NC 02 – Metodologia de GSIC • 03/06/09 NC 03 – Diretrizes para a elaboração de política de SIC na APF. 8
  • 9. Normativos • 17/10/09 NC 04 – Gestão de riscos de SIC na APF. • 17/10/09 NC 05 – Disciplina a criação de equipes de tratamento e respostas a incidentes em redes computacionais - ETIR nos órgãos e entidades da APF • 23/11/09 NC 06 – Diretrizes para gestão de continuidade de negócios, nos aspectos relacionados à SIC, na APF. 9
  • 10. Normativos • 07/05/10 NC 07 – Diretrizes para Implementação de controles de acesso relativos à SIC, na APF. • 24/08/10 NC 08 – Diretrizes para gerenciamento de incidentes em redes computacionais na APF. • 22/11/10 NC 09 – Orientações específicas para o uso de recursos criptográficos. 10
  • 11. Normativos • 10/02/12 NC 10 – Diretrizes para o processo de inventário e mapeamento de ativos de informação, para apoiar a SIC, na APF. • 10/02/12 NC 11 – Diretrizes para avaliação de conformidade nos aspectos relativos à SIC na APF • 10/02/12 NC 12 – Diretrizes e orientações básicas para o uso de dispositivos móveis nos aspectos referentes à SIC na APF 11
  • 12. Normativos • 10/02/12 NC 13 – Diretrizes para a gestão de mudanças nos aspectos relativos à SIC. • 10/02/12 NC 14 – Diretrizes e orientações básicas para o uso de tecnologias de computação em nuvem nos aspectos referentes à SIC na APF 12
  • 13. Normativos • 21/05/12 NC 15 – Diretrizes de SIC para o uso de redes sociais nos aspectos referentes à SIC na APF. • 21/11/12 NC 16 – Diretrizes e orientações básicas e orientações básicas para o desenvolvimento e obtenção de software seguro na APF. 13
  • 14. NC16 • Objetivo – Estabelecer diretrizes de segurança da informação e comunicações para a obtenção de software seguro nos órgãos e entidades da APF. 14
  • 15. NC16 • Participantes do Grupo de Trabalho 15
  • 16. NC16 • Princípios na elaboração da norma – Obtenção de software seguro • Desenvolvido internamente • Adquirido via terceiros – Inclusão indiscriminada das entidades da APF • Reunião de diretrizes elementares para um programa de segurança de software • Recomendações e sugestões 16
  • 17. NC16 • Desenvolvimento (11) • Aquisição (9) 17
  • 18. NC16 • Estabelecer normas internas baseadas na NC16 para desenv./obtenção de software seguro. Norma Interna - CPD UnB A partir da data de publicação desta norma, o desenvolvimento ou aquisição de qualquer software deve ser precedido da designação do responsável pela definição e validação dos requisitos de segurança de software. Os requisitos de requisitos de segurança devem ser inspirados pela política de segurança da informação da UnB. Desenvolvido Fornecido por internamente terceiros 18
  • 19. NC16 • Identificar os responsáveis pela definição e validação dos requisitos de segurança que o software deva atender. Comunicado interno O projeto de migração do serviço de localização pelo CEP para REST terá como responsável pelos seus requisitos de segurança o servidor José Silva Desenvolvido internamente 19
  • 20. NC16 • Definir os requisitos de segurança logo no início de qualquer projeto de desenv. de software. Exemplos de requisitos  Cada atividade do usuário deverá ser rastreada de modo único.  Decisões com falha ou sucesso relacionadas a autorização e autenticação devem ser logadas. Desenvolvido Fornecido por internamente terceiros 20
  • 21. NC16 • Implementar controles de segurança para proteger os ativos de informação, de acordo com a sua criticidade a ser definida pelos respectivos órgãos e entidades da AP. Exemplos de controles  Validação de entrada  Trilhas de auditoria Desenvolvido internamente 21
  • 22. NC16 • Usar controles de segurança como componentes, de forma que sejam catalogados e reutilizados em outros sistemas. Exemplos de Componentes  Filtro de controle de acesso - JSF  Componente de autenticação com multiplos fatores Desenvolvido internamente 22
  • 23. NC16 • Considerar o controle de acesso durante a etapa de desenvolvimento. Desenvolvido internamente 23
  • 24. NC16 • Implementar os controles de segurança por múltiplas camadas, de acordo com a criticidade das informações tratadas pelo software. Validação de entrada Prepared Statement Permissão mínima usuário BD SQL Injection Desenvolvido internamente 24
  • 25. NC16 • Considerar o desenvolvimento da arquitetura do software de forma a privilegiar a alta coesão e baixo acoplamento, a facilidade de uso e a não implementação de mecanismos de segurança desnecessários. Desenvolvido internamente 25
  • 26. NC16 • Construir o software de forma que suas mensagens de erro não revelem detalhes da sua estrutura interna. Desenvolvido internamente 26
  • 27. NC16 • Verificar o atendimento dos requisitos de segurança do software. Como verificar?  Análise Estática  Análise Dinâmica Desenvolvido Fornecido por internamente terceiros 27
  • 28. NC16 • Configurar adequadamente o software desenvolvido quando este passar para o ambiente de produção. Desenvolvido internamente 28
  • 29. NC16 • Instaurar meios que visem o controle da qualidade e precisão do trabalho efetuado de forma a garantir que os requisitos de segurança sejam atendidos. Conformidade  Condicionar a aceitação de produto a correção das falhas de segurança reportadas pelos testes. Fornecido por terceiros 30
  • 30. NC16 • Estabelecer definições sobre a custódia de código-fonte e manutenção do software em caso de falha da empresa contratada. Fornecido por terceiros 31
  • 31. NC16 • Definir regras e procedimentos operacionais para a contratada quanto à liberação de acesso aos recursos tecnológicos e ao ambiente físico ou lógico de cada órgão e entidade da APF. Fornecido por terceiros 32
  • 32. NC16 • Definir as regras para transferência do conhecimento sobre o software desenvolvido, de modo a permitir a sua manutenção, de forma independente, por parte da APF. Fornecido por terceiros 33
  • 33. NC16 • Todos os procedimentos de segurança descritos pela NC16 devem estar previstos no instrumento contratual correspondente. Fornecido por terceiros 34
  • 34. Consideração final • Norma Complementar 16 – Ponto de partida para o progresso da APF em segurança de software. – Pode parecer tímida para algumas entidades. – Órgãos de controle. 35