Gestão de Segurança da
Informação
Aula 06 – Segurança de Aplicações e
Criptografia
Prof. Paulo Gontijo

Segurança de Aplicações e Criptografia

Conteúdo:
1.
2.
3.
4.

Breve Introdução
Desenvolvimento Seguro
Testes de Segurança
Aplicando criptografia na segurança de aplicações

Breve Introdução

• Surgimento da Internet: Páginas estáticas
• Atualmente: Aplicações Web e Mobile

Trustwave 2013 Global Security Report

Breve Introdução

Trustwave 2013 Global Security Report

Desenvolvimento Seguro
• Custa caro desenvolver de forma segura?
• Quem faz a segurança não é o antivirus, firewall ou softwares de teste automatizados;
• Desenvolvedores não tem treinamento nem mindset em segurança;
• 10x mais caro corrigir

Desenvolvimento Seguro
 Segurança no ciclo de vida de desenvolvimento de software: Fase

Requisitos de Segurança

Especificação e design

Análise de Risco, ISO 27002, COBIT.

Desenvolvimento

Best practices (OWASP)

Testes

Testes humanos e automáticos

Implantação e manutenção

Segurança de Ambiente

Desenvolvimento Seguro
Exemplo de controles para Especificação / Design:
Quanto maior o interesse de um fraudador em explorar a aplicação maior a preocupação com controles!





O Sistema deve logar todas as alterações do módulo financeiro com data/hora, ação, usuário;
A autenticação deve ser realizada no Active Directory e a autorização através de grupos;
Não deve ser possível visualizar o número do cartão de crédito.

Desenvolvimento Seguro
Exemplo de controles para Desenvolvimento:
Os controles abaixo se aplicam em quase todos os processos de desenvolvimento, portanto podem fazer parte do book de desenvolvimento.





O controle de sessão deve ser realizado do lado do servidor, em vez do cliente. Todos os dados enviados pelos usuários devem sempre ser testados do lado do servidor.
Campos hidden não podem armazenar informações sensíveis.

Desenvolvimento