Engineering for digital security
Segurança através da QualidadeSecurity !3V3NTZ#
2 de dezembro de 2014
Agenda
• Multicert
• Qualidade
• Qualidade e Segurança
• Custos da Qualidade
• Sintomas
• O que fazer
• Pessoas
• Processos
• Ferramentas
• Resultados
QualidadeSoftware quality is a field of study and practice that describes the desirable attributes of software products.
Two approaches to software quality are prevalent: Defect Management Approach; Quality Attributes Approach.
02/12/2014 Copyright © 2002-2014 Multicert S.A. All rights reserved. 4
The degree to which a set of inherent characteristics fulfills requirements
1. The degree to which a system, component, or process meets specified requirements.
2. The degree to which a system, component, or process meets customer or user needs or expectations.
Qualidade e Segurança
It has been shown that investments in software quality will reduce the incidence of computer security problems, regardless of whether security was a target of the quality program or not.
Ross Anderson, Security Engineering
Software security relates entirely and completely to quality. You must think about security, reliability, availability, dependability — at the beginning, in the design, architecture, test and coding phases, all through the software life cycle. Gary McGraw, Computerworld
Custo da Qualidade
Custo da Qualidade = Custos da Conformidade + Custo da não conformidade PMBOK 5º Edição
Co
nfo
rmid
ade • Prevenção
• Treino
• Documentação
• Verificação
• Ferramentas
• Auditoria
• Testes
• Inspeções
Não
Co
nfo
rmid
ade • Internos
• Retrabalho
• Externos
• Perda de Imagem
• Indeminizações
• Perdas de Negócio
• Manutenção
Sintomas
• Falha nos compromissos: Atraso nas entregas, noitadas, custos descontrolados
• Falta de visibilidade para a gestão.
Pessoas
• Seguem os processos e políticas da organização
• Treino continuo: Processos, segurança
• Cultura: Compromisso, melhoria continua, executar
• Desafio: Gestão da Mudança
Processo sem Pessoas -> Tinta e Papel
Processos
• Descreve quem faz o que, quando e como.
• Trabalhar melhor ≠ Trabalhar mais
• Acumula a experiência e conhecimento
• Deve Medir (e.g. Prazo, Custo, Qualidade)
Pessoas sem processo -> Resultados sem eficiência
Ferramentas
• Automatizam a facilitam a execução
• Aumentam a eficiência
• É necessário integrar
• Exemplo: Gestão de Requisitos, Geração de Métricas, Gestão de Versões
Ferramentas potenciam a eficiência -> mas não criam resultados
Resultados
• Base para melhorar
• Clientes mais satisfeitos
• Recursos humanos mais satisfeitos
• Produtos ajustados ao negócios
• Maior controlo sobre a qualidade
• Visibilidade para a gestão