Escolar Documentos
Profissional Documentos
Cultura Documentos
1. Introduo
A crescente necessidade de produtos de software que suportam processos de negcios tem
motivado consideravelmente pesquisadores no melhoramento de processos de
desenvolvimento de software.
Da mesma maneira que cada projeto de sistema possui diferentes requisitos de
software, tambm possuir diferentes requisitos de segurana. Requisitos de segurana
da informao so identificados por meio de uma avaliao sistemtica dos riscos de
segurana da informao. Gastos com os controles de segurana precisam ser
balanceados de acordo com os danos causados aos negcios gerados pelas falhas
potenciais na segurana da informao. Os resultados da avaliao de riscos ajudaro a
direcionar e a determinar as aes gerenciais apropriadas e as prioridades para o
gerenciamento dos riscos da segurana da informao [Compagna et al. 2008].
Alm disso, considera-se importante a criao de diferentes nveis de segurana em
projetos. Estes nveis so aplicados em projetos a partir de uma avaliao de diversos
aspectos da empresa e do projeto em desenvolvimento.
Desta forma, este artigo tem como objetivo propor e avaliar nveis de segurana
a serem aplicados em diferentes tipos de projetos. Estes nveis esto baseados em
requisitos e medidas de segurana a serem tomadas pelo responsvel pelo projeto.
O artigo est organizado da seguinte maneira: seo 2 apresenta nveis de
segurana propostos para o desenvolvimento de software. A seo 3 demonstra a
proposta de avaliao do nvel de segurana a ser empregado no projeto. Na quarta
seo apresentada a ferramenta desenvolvida para suportar a proposta deste artigo e a
seo 5 apresenta uma aplicao da proposta. A seo 6 apresenta trabalhos
relacionados a este artigo. Por fim, na seo
7 so apresentadas as concluses e
trabalhos futuros, posteriormente feita referncia a bibliografia utilizada.
2. Critrios de segurana no desenvolvimento de software
R3 - Informaes sobre ataques e tentativas de ataques anteriores so estudadas e coletadas, para que se tenha um
conjunto de dados a serem analisados sempre que novos sistemas forem desenvolvidos.
R4 - Priorizao de riscos e ameaas em trabalhos anteriores so realizadas, para utilizao em trabalhos futuros.
R5- Especificao de requisitos de alto nvel de segurana, tais como preservao da confidencialidade, integridade
e disponibilidade so especificadas para atenuar as ameaas identificadas.
R6 - Verificao de mecanismos de segurana que so capazes de cumprir um requisito de segurana.
R7 - Requisitos de segurana de alto nvel so priorizados atravs de uma anlise custo-benefcio. Mecanismo de
segurana com maior prioridade sero implementados primeiramente, caso haja restries oramentrias.
R8 - Inspees so realizadas a fim de identificar erros de segurana em software e requisitos de segurana de baixo
nvel.
R9 - Um limite de segurana aceitvel definido atravs de sua utilizao. Caso um mecanismo fraco de segurana
for selecionado, ento sua fraqueza pode ser tratada como uma vulnerabilidade em relao ao clculo do ndice de
segurana.
R10 - Se o ndice de segurana calculado for inferior ao inicial, ento os requisitos de segurana para remover erros
identificados so especificados.
R11. Requisitos de segurana so priorizados com base em uma anlise custo-benefcio.
Data Acess Object (DAO) que permite a separao de cdigo destinado a manipulao de dados do banco de dados
para a aplicao, assim diminuindo a interferncia da estrutura do banco diretamente na aplicao desenvolvida.
I3. Testes de unidade sero realizados com preocupaes com a segurana em mente, Podendo ser utilizado o
firebug para tais testes. Erros de segurana relatados em software similares sero usados como uma referncia.
6. Concluso
Considera-se o tema do trabalho importante, pois a segurana na qual baseado
o processo de software e consequentemente o desenvolvimento de sistemas tem se
mostrado cada vez mais importante para a organizao, para os desenvolvedores e para
seus usurios.
A elaborao de nveis de segurana atravs de modelos encontrados na
literatura, que j tiveram uma aceitao da sociedade cientfica, alm de terem sido
criados por renomados autores auxilia na compreenso e na validao da eficcia de tais
modelos.
Para a deciso de quais modelos devem ser utilizados em cada empresa e cada
projeto, foi criado um esquema que permite ao gerente de projetos em conjunto com o
engenheiro de segurana uma avaliao de qual nvel deve ser utilizada, alm de dados
concretos que possam demonstrar a usurios de produto final porque um determinado nvel
de segurana foi escolhido.
7. Bibliografia
CARDOSO et al. (2009) Um Modelo de Controle Formal para o gerenciamento de
riscos de processo em fbricas de software. Publicado em: Anais do IX Simpsio
Brasileiro em Segurana da Informao e de Sistemas Computacionais
CERT
(2010),
Coordination
Center
Statics.
Disponvel
em:
www.cert.org/stats/cert_stats.html.
MEAD, NANCY R., LINGER R., MCHUGH J., LIPSON H., Managing Software
Development for Survivable Systems, Annals Software Eng., vol. 11, no. 1, 2001, pp.
45-78. BYERS, DAVID e SHAHMEHRI, NAHID (2007) Design of a Process for
Software Security Second International Conference on Availability, Reliability and
Security (ARES'07).
CAMPOS A., (2007) Sistema de segurana da informao - Controlando os riscos
Santa Catarina: Visual Books.
COMPAGNA L., KHOURY P., KRAUSOV A., MASSACCI F., ZANNONE N.
(2008) How to integrate legal requirements into a requirements engineering
methodology for the development of security and privacy patterns Publicado em:
Springer Science+Business Media
KHAN, Muhammad U. A., Zulkernine, Mohammad. Activity and Artifact Views of a
Secure Software Development Process. International Conference on Computational
Science and Engineering. , 2009, pp. 339- 404.
KHAN Muhammad U. A., Zulkernine, Mohammad. Quantifying Security in Secure
Software Development Phases Annual IEEE International Computer Software and
Applications Conference, 2008, pp. 905-960.
MEAD NANCY R., MCGRAW GARY, A Portal for Software Security, IEEE
SECURITY & PRIVACY, 2005, pp. 75-79.
NBR ISO/IEC 27001; Tecnologia da informao - Sistemas de gesto de segurana da
informao . Rio de Janeiro - RJ (2006)
NUNES, F. J. B. BELCHIOR, A. D., ALBUQUERQUE A. B. (2009) A knowledge
Management Aproach to Support a Secure Software Development Universidade de
Fortaleza - Fortaleza.
SBIS (2010) - Sociedade Brasileira de Informtica na Sade. Disponvel em:
http://www.sbis.org.br/
SOMMERVILLE I. (2007) Engenharia de software So Paulo: Pearson Addison Wesley.