UNIVERSIDADE ESTÁCIO DE SÁ

MBA EM SEGURANÇA DA INFORMAÇÃO

Resenha Crítica de Caso

João Paulo Ferreira de Sousa

Trabalho da disciplina GESTÃO DA SEGURANÇA NO SDLC

Tutor: Prof. CARLOS ALBERTO DE FARIAS

Fortaleza
2020

1
 O CICLO DE VIDA DO DESENVOLVIMENTO DA SEGURANÇA

Referência: Howard, Michael; Lipner ,Steve, O Ciclo de vida do Desenvolvimento

da segurança, 05.2006; Disponível em : http://pos.estacio.webaula.com.br/Mens
ageria/Anexos/01102020/3623897/127191.pdf; Acesso em: 09.2020

O artigo aborda como assunto principal, as relações inerentes entre segurança,

privacidade, confiabilidade e qualidade voltado ao desenvolvimento de softwares mais
confiáveis e seus desafios, enfatizando e exemplificando as vulnerabilidades
identificadas em cadeias de softwares.
Com os avanços tecnológicos, os ambientes digitais passaram a cada vez mais a se
expandir e a se desenvolver tecnologicamente, englobando mais informações e dados
ao meio de tantos risco e falhas que passam despercebidas na visão do administrador.
Quando falamos sobre a indústria de desenvolvimento de software, observamos que
os mecanismos de controle sobre ataques cibernéticos vêm se aperfeiçoando a cada
momento e as empresas têm o intuito de melhorar a eficiência nas diretrizes de
códigos e também em processos de avaliação para testes de qualidade. A própria
Microsoft que engajou no seu processo de desenvolvimento de software modelos de
ferramentas e procedimentos analíticos que visavam melhorar a confiança de seus
sistemas chamados de SDL (Ciclo de vida do Desenvolvimento Seguro), que eram
constituídas de várias fases que começavam da análise e finalizam nos ambientes de
pós implantação. Com essa técnica trouxeram mais segurança para os usuários finais
que utilizavam e credibilidade para a marca. Os ataques que mais ganham força no
mercado nos dias atuais e preocupam os analistas de segurança pela propagação do
conteúdo esta associados aos ataques de “ Phishing “, que seria a arte induzir as
pessoas a repassarem suas informações de forma eletrônica e indiretamente sem o
consenso devido, enganando-as. Podemos ate relaciona-la como uma forma de
engenharia social, pois utiliza de técnica persuasivas gerando interesse da vitima com
ofertas ou benefícios ilusório ou comprometedor. Os ataques de Phishing não
expressão complexidade, ou seja, não necessitam de muitas habilidades tecnológicas

2
do praticante para efetivar a ação, apenas de manipulação de informações o que no
contexto de segurança de sistemas se torna comprometedor a privacidade onde essa
por sua vez pode ser interpretada como “ abrir mão “ de suas informações privada.
Por outro lado, criminosos cibernéticos passaram a atacar sistemas a níveis de
aplicativo bem como bancos de dados, software antivírus e sistema de backup pois
as chances de o ataque ser bem mais sucessíveis a êxito, podem gerar recompensas
financeiras inestimáveis. Outra causa que envolve ausência de privacidade esta
direcionada a aplicativos mobiles instalados pelos usuários que se utilizam das
permissões concedidas pelo sistema que podem coletar informações pessoais e
compartilhar sem o consentimento do portador, contudo existem leis mais atuais que
fortalecem o direito a privacidade e exigem das empresas que sejam reformuladas
todos os seus temos de uso. O país necessita de normas mais rígidas para redimir
tantos prejuízos envolvendo o perfil privado de um civil, tem se a necessidade de
trazer algo mais transparente e confiável. Em um dos trechos mencionados no artigo,
revelam três pilares utilizados de modelos para a projeção de plataformas mais
consistentes: Segurança, ( algo eficiente a nível de proteção ), Privacidade ( seria a
capacidade de retenção de informações privadas ) e Confiabilidade ( posso definir
como algo seguido de boas condutas, “ duradouro “ ), inseridos nos campos de cada
pilar, exemplos de problemas que associam cada área : Segurança – Se um usuário
levar um software malicioso para outro computador¹, se abordarmos essa ideia em
uma empresa, onde se exista uma liberdade da parte do funcionário em efetivar a
inserção desse software não apenas no seu dispositivo mas nos demais, podemos
destacar ausência de controle de acesso voltados principalmente aos sistemas
operacionais. Privacidade – Se um usuário intencionalmente divulgar dados pessoais
a um atacante não confiável, através de um ataque de Phishing¹, nesse modelo
levando também ao ambiente corporativo, se dados são expostos por questões de
indução por meios de serviços de mensagem, são de fato falhas oriundas de uma má
capacitação não só do usuário mas da equipe como um todo e acima de tudo ausência
de serviços de filtro de conteúdo no intuito de descarte. Confiabilidade – Se uma
pessoa tropeçar e desconectar um cabo de um computador¹, nessa ideia podemos
comparar com o serviços de limpeza em uma empresa onde o funcionário precisa

3
realizar faxinas nos ambientes de trabalho e desconecta cabos cruciais para acionar
um computador, classificaríamos como uma conduta grave, imagine se
mencionarmos o ocorrido a servidores da empresa onde poderia ser ainda mais
agravante. Com todos esses assuntos abordados vale apena frisar que os três
conceitos estão interligados de alguma forma, pois um pode ser requisito enquanto
outro pode ser o resultado e estão englobados em um elemento chave para o sucesso
a “ Qualidade “, nesse processo caracterizado na percepção entre andamento e
resultado em referencia a segurança, confiabilidade e privacidade, de forma a
identificar os requisitos de conformidade observando se foram atendidas de maneira
satisfatória. A qualidade propõe também outra característica que é fundamentada na
sua integridade de uso, que seria a forma de manter o nível de eficiência sempre
continuo gerando um pré-requisito para a consistência de um desenvolvimento de um
software. Mesmo com tantos desafios, empresas de desenvolvimento de software
sempre buscam adequações para os tipos de necessidade de cada projeto, seja
empresas pequenas ou médio porte ou como o caso da Microsoft que aderia aos
procedimentos da SDL para corrigir falha anteriores de seus softwares. Podemos
concluir que as ameaças do passado sofreram mutações de código que afetam o
cotidiano atual e deixam o futuro inserto nos mecanismos de proteção global.

4
Complemento

De que forma poderíamos ter no Brasil um sistema de informação voltado para

a segurança alimentar nos diversos setores da economia como supermercados,
feiras livres e restaurantes? Qual a sua sugestão para a implantação, controle e
melhoria desse sistema?

Quando falamos de tecnologia, a primeira ideia em mente seria a utilização de

QRCODE nos produtos. O QRCODE seria um código bidimensional (semelhante ao
código de barra) que armazena informações de diversos tipos e formas de conteúdo
onde poderia ser consultado através de um dispositivo digital (no caso um celular por
exemplo). O objetivo seria trazer mais informações e detalhes do que o consumidor
está comprando e deixar mais claro as informações de origem desses produtos.
Grande parte dos produtos que compramos no comercio não existem informações
reais e principalmente a procedência ao qual foi fabricado. Uma melhoria poderia ser
atribuída observando a seguinte maneira:

• Realizar uma análise para abordagem das características do produto (levando

em consideração desde a parte inicial de desenvolvimento ate a chegada ao
consumidor). Nessa abordagem, todos os mecanismos de produção e
utilização referente ao produto não resultando apenas nas informações
relevantes, mas também em detalhes.
• Com base nos dados transcritos, seria produzido uma tabela com toda as
informações coletas da análise daquele produto e seria produzido um
QRCODE indexando os dados na embalagem do produto deixando o visível ao
consumidor.
• Finalmente, quando o consumidor sentisse lesado ou gerasse dúvidas na
procedência do produto, precisaria acionar o leitor de código no celular e
automaticamente seria redirecionado a todo o conteúdo daquele produto.

5
Para fortificar o procedimento, poderia ser ajustado na própria arquitetura do código,
um ambiente para coletar informações de consumidores aos quais identificaram
irregularidades em algum ponto dos dados coletados e como essas informações
houvesse um aperfeiçoamento nas diretrizes de controle alimentar.