Qa test roadsec-bh - testes de segurança, não comece pelo fim!

Teste de Segurança: Não comece pelo fim!

Welington Costa Monteiro

QATest Tecnologia

Belo Horizonte, 06 de Setembro de 2014

Agenda

• Apresentação

• Brainstorm : Por que tantas falhas de segurança em

software?

• 1,2,3… testando!

• Por onde começar os testes de segurança?

• Resultados esperados & roadmap

• Conclusão

Apresentação

Proposta de livro submetida ao MCTI/SEPIN 3º colocado no Programa Brasileiro de Qualidade de Software, mantido por esse órgão.

CEO & Founder da startup QATest, Conselheiro Administrativo na FCJ Participações S/A, Gerente de Sistemas em empresa de TI de Governo, Professor Universitário, Consultor e Palestrante.

Apresentação

Membro do grupo de revisão técnica da ISO 29.119

Agile Brazil 2014 – NOV/14 – Florianópolis/SC

A QATest Tecnologia é uma startup que surgiu para atender uma necessidade eminente do mercado atual e do mercado emergente que abrange novas tecnologias como: Mobile, Cloud Computing e Big Data. Tem como foco promover a excelência qualidade de software.

Em fase piloto:

Apresentação

Brainstorm

Brainstorm

As 3 falhas de segurança mais comuns nos softwares:

Brainstorm

Fonte: Instituto SANS – JUL/2014

1. Falhas de Autorização

2. Falhas de Criptografia

3. Buffer Overflow

Por que tantas falhas

de segurança em software?

Brainstorm

1, 2, 3… testando!

70% do esforço do desenvolvimento

nas empresas de software no Brasil é gasto para corrigir falhas imprevistas de software. Fonte DEVMEDIA - 2012

US$ 312 bilhões foi

a estimativa de gastos mundialmente para corrigir falhas de software. Fonte: Cambridge University - 2013

73% das empresas

desenvolvedoras de aplicações móveis não possuem nenhum tipo de processo de testes e qualidade software. Fonte: Pesquisa World Qualtiy Report - 2013

Fonte: T&M Testes – 2012 – Levantamento 300 projetos

1, 2, 3… testando!

445% é a taxa de retorno de

investimento (ROI) que pode ser obtida com uma equipe independente de testes, com um automação de testes de software e que tenha processos de qualidade baseados nas metodologias e técnicas baseado em boas práticas de mercado. Fonte: Rex Black – ISTQB - 2012

29.119 • Padronização Mundial sobre

Testes de Software • Substituição das outras normas

(Ex: ISO 9126, IEEE 829, 1044)

O mercado mundial de testes de software movimentou em 2013, cerca

de 50 bilhões de euros, 2%

deste valor em território nacional.

1, 2, 3… testando!

1, 2, 3… testando!

CONTEXTO CADA VEZ MAIS COMPLEXO SIMPLIFICAR E AGILIZAR O PROCESSO

Sistema

Usuário interage com o sistema

1, 2, 3… testando!

O caos completo

O conflito

CENÁRIO 1 Ausência dos

testes de software

CENÁRIO 2 Equipe

independente de testes

1, 2, 3… testando!

1, 2, 3… testando! Testes Funcionais e não funcionais

Onde estão os testes de segurança?

Por onde começar os testes de segurança?

Por onde começar os testes de segurança?

1º Passo: Entender quais são os objetivos gerais da SI e seus impactos nos sistemas de informação

Gerencial

Operacional

• Planejamento • Avaliação de riscos • Conscientização e treinamento • Certificação, validação e avaliação de segurança • Auditoria

• Gerenciamento de configurações • Continuidade dos serviços • Resposta a incidentes • Manutenção • Proteção de mídias

Por onde começar os testes de segurança?

Técnico

Ambiental

• Controle de acesso • Identificação e autenticação • Proteção de sistemas e comunicações • Monitorar, controlar e proteger comunicações internas e

entre sistemas da informação; • Integridade de sistemas e informações • Segurança em sistemas

• Segurança física e ambiental • Segurança pessoal

1º Passo: Entender quais são os objetivos gerais da SI e seus impactos nos sistemas de informação

Por onde começar os testes de segurança?

2º Passo: Categorização dos níveis de segurança dos sistemas

Por onde começar os testes de segurança?

2º Passo: Categorização dos níveis de segurança dos sistemas: Confidencialidade, Disponibilidade e Integridade

Por onde começar os testes de segurança?

3º Passo: Identificar as normas, frameworks e melhores práticas para SI

• CobiT

• CMMi

• ISO 27002, com ênfase nos itens de segurança de aplicações

• ISO 15408-2, para requerimentos funcionais de segurança

• ISO 15408-3, para as definições de avaliação de segurança e maturidade de sistemas

Por onde começar os testes de segurança?

Exemplo da utilização da ISO 15408

Auditoria de Segurança (FAU) Comunicação (FCO) Criptografia (FCS) Proteção de Dados do Usuário (FDP) Identificação e Autenticação (FIA) Gerenciamento de Segurança (FMT) Privacidade (FPR) Proteção das Funcionalidades de Segurança

(FPT) Utilização de Recursos (FRU) Acesso ao Sistema (FTA) Canais de Confiança (FTP)

CLASSES FUNCIONAIS

Por onde começar os testes de segurança?

Auditoria de Segurança (FAU)

Por onde começar os testes de segurança?

4º Passo: Elaborar um Plano de Segurança da Informação para Sistemas

Por onde começar os testes de segurança?

5º Passo: Definir uma boa ferramenta para análise estática de código e testes no sistema implantado

Resultados esperados & roadmap

Resultados esperados & roadmap

+ Segurança

Resultados esperados & roadmap

ROADMAP

• Mobile

• Cloud Computing

• Big Data

• Internet das Coisas

Conclusão

“Conformidades com os requisitos funcionais e não funcionais explicitamente declarados, padrões de desenvolvimento explicitamente documentados e características implícitas, são esperadas em todo software desenvolvido profissionalmente.” (Pressman)

Conclusão

Dúvidas?

Contato

Welington Costa Monteiro

monteiro@qatest.com.br

(31) 7168-1564 | 9144-4002

WelingtonMonteiro http://www.slideshare.net/welingtonmonteiro

Conclusão

www.qatest.com.br

www.fabricadetestes.com.br