Embed Size (px)
DESCRIPTION
Palestra no Evento ROADSEC em Belo Horizonte, abordando a questão dos testes de segurança, visando a questão do processo.
Citation preview
Teste de Segurança: Não comece pelo fim!
Welington Costa Monteiro
QATest Tecnologia
Belo Horizonte, 06 de Setembro de 2014
Agenda
• Apresentação
• Brainstorm : Por que tantas falhas de segurança em
software?
• 1,2,3… testando!
• Por onde começar os testes de segurança?
• Resultados esperados & roadmap
• Conclusão
Apresentação
Proposta de livro submetida ao MCTI/SEPIN 3º colocado no Programa Brasileiro de Qualidade de Software, mantido por esse órgão.
CEO & Founder da startup QATest, Conselheiro Administrativo na FCJ Participações S/A, Gerente de Sistemas em empresa de TI de Governo, Professor Universitário, Consultor e Palestrante.
Apresentação
Membro do grupo de revisão técnica da ISO 29.119
Agile Brazil 2014 – NOV/14 – Florianópolis/SC
A QATest Tecnologia é uma startup que surgiu para atender uma necessidade eminente do mercado atual e do mercado emergente que abrange novas tecnologias como: Mobile, Cloud Computing e Big Data. Tem como foco promover a excelência qualidade de software.
Em fase piloto:
Apresentação
Brainstorm
Brainstorm
As 3 falhas de segurança mais comuns nos softwares:
Brainstorm
Fonte: Instituto SANS – JUL/2014
1. Falhas de Autorização
2. Falhas de Criptografia
3. Buffer Overflow
Por que tantas falhas
de segurança em software?
Brainstorm
1, 2, 3… testando!
70% do esforço do desenvolvimento
nas empresas de software no Brasil é gasto para corrigir falhas imprevistas de software. Fonte DEVMEDIA - 2012
US$ 312 bilhões foi
a estimativa de gastos mundialmente para corrigir falhas de software. Fonte: Cambridge University - 2013
73% das empresas
desenvolvedoras de aplicações móveis não possuem nenhum tipo de processo de testes e qualidade software. Fonte: Pesquisa World Qualtiy Report - 2013
Fonte: T&M Testes – 2012 – Levantamento 300 projetos
1, 2, 3… testando!
445% é a taxa de retorno de
investimento (ROI) que pode ser obtida com uma equipe independente de testes, com um automação de testes de software e que tenha processos de qualidade baseados nas metodologias e técnicas baseado em boas práticas de mercado. Fonte: Rex Black – ISTQB - 2012
29.119 • Padronização Mundial sobre
Testes de Software • Substituição das outras normas
(Ex: ISO 9126, IEEE 829, 1044)
O mercado mundial de testes de software movimentou em 2013, cerca
de 50 bilhões de euros, 2%
deste valor em território nacional.
1, 2, 3… testando!
1, 2, 3… testando!
CONTEXTO CADA VEZ MAIS COMPLEXO SIMPLIFICAR E AGILIZAR O PROCESSO
Sistema
Usuário interage com o sistema
1, 2, 3… testando!
O caos completo
O conflito
CENÁRIO 1 Ausência dos
testes de software
CENÁRIO 2 Equipe
independente de testes
1, 2, 3… testando!
1, 2, 3… testando! Testes Funcionais e não funcionais
Onde estão os testes de segurança?
Por onde começar os testes de segurança?
Por onde começar os testes de segurança?
1º Passo: Entender quais são os objetivos gerais da SI e seus impactos nos sistemas de informação
Gerencial
Operacional
• Planejamento • Avaliação de riscos • Conscientização e treinamento • Certificação, validação e avaliação de segurança • Auditoria
• Gerenciamento de configurações • Continuidade dos serviços • Resposta a incidentes • Manutenção • Proteção de mídias
Por onde começar os testes de segurança?
Técnico
Ambiental
• Controle de acesso • Identificação e autenticação • Proteção de sistemas e comunicações • Monitorar, controlar e proteger comunicações internas e
entre sistemas da informação; • Integridade de sistemas e informações • Segurança em sistemas
• Segurança física e ambiental • Segurança pessoal
1º Passo: Entender quais são os objetivos gerais da SI e seus impactos nos sistemas de informação
Por onde começar os testes de segurança?
2º Passo: Categorização dos níveis de segurança dos sistemas
Por onde começar os testes de segurança?
2º Passo: Categorização dos níveis de segurança dos sistemas: Confidencialidade, Disponibilidade e Integridade
Por onde começar os testes de segurança?
3º Passo: Identificar as normas, frameworks e melhores práticas para SI
• CobiT
• CMMi
• ISO 27002, com ênfase nos itens de segurança de aplicações
• ISO 15408-2, para requerimentos funcionais de segurança
• ISO 15408-3, para as definições de avaliação de segurança e maturidade de sistemas
Por onde começar os testes de segurança?
Exemplo da utilização da ISO 15408
Auditoria de Segurança (FAU) Comunicação (FCO) Criptografia (FCS) Proteção de Dados do Usuário (FDP) Identificação e Autenticação (FIA) Gerenciamento de Segurança (FMT) Privacidade (FPR) Proteção das Funcionalidades de Segurança
(FPT) Utilização de Recursos (FRU) Acesso ao Sistema (FTA) Canais de Confiança (FTP)
CLASSES FUNCIONAIS
Por onde começar os testes de segurança?
Auditoria de Segurança (FAU)
Por onde começar os testes de segurança?
4º Passo: Elaborar um Plano de Segurança da Informação para Sistemas
Por onde começar os testes de segurança?
5º Passo: Definir uma boa ferramenta para análise estática de código e testes no sistema implantado
Resultados esperados & roadmap
Resultados esperados & roadmap
+ Segurança
Resultados esperados & roadmap
ROADMAP
• Mobile
• Cloud Computing
• Big Data
• Internet das Coisas
Conclusão
“Conformidades com os requisitos funcionais e não funcionais explicitamente declarados, padrões de desenvolvimento explicitamente documentados e características implícitas, são esperadas em todo software desenvolvido profissionalmente.” (Pressman)
Conclusão
Dúvidas?
Contato
Welington Costa Monteiro
(31) 7168-1564 | 9144-4002
WelingtonMonteiro http://www.slideshare.net/welingtonmonteiro
Conclusão
www.qatest.com.br
www.fabricadetestes.com.br
