Pós-graduação: Engenharia da Qualidade de Software

SP_POS_698121_2203_01 2202 – Segurança da Informação – Software

Seguro
Victória dos Santos Oliveira

1- No processo de desenvolvimento seguro de software e aplicativos para que

estejam em compliance e que malwares não sejam propagados é imprescindível
que requisitos de segurança seja inserido no desenvolvimento.
Um dos possíveis ataques é o XSS que é a inserção de códigos no HTTP e que
o navegador executa através da inserção de dados, como por exemplo em um
formulário que o usuário precisa preencher. Para que isso não ocorra é
necessário implementar filtros que bloqueiem a inserção de códigos, validar os
dados de entrada e saída do usuário e validar todo o cabeçalho.
Os três requisitos fundamentais para que um software seja considerado seguro
é o gerenciamento de controle de acessos; validação das informações e
gerenciamento dos ataques sofridos.
O gerenciamento de controle de acessos tem como principal função fortalecer
processos de autenticação, garantindo a segurança das informações, garantindo
que o usuário tenha acesso ao que seja realmente necessário.
A validação das informações garante que os dados enviados realmente sejam
do usuário em um processo de comparação com os dados registrados, e uma
etapa fundamental é exigir que o usuário confirme dados ou perguntas, essa
forma barra possíveis fraudes. Tudo ocorre por meio de ferramentas
automatizadas e inteligência artificial.
Por fim o gerenciamento dos ataques sofridos é uma forma de monitorar
possíveis ataques, a vigilância contínua das vulnerabilidades ajuda entender
onde os pontos sujeitos a riscos estão a tempo de tomar atitudes de melhorias
e prevenção.
Lembrando que a segurança protege tanto a empresa quanto o cliente.

2- Boas práticas a usuários de dispositivos eletrônicos em relação ao uso de

aplicativos.
Há várias boas práticas a serem feitas, como por exemplo:
1. Evitar salvar senhas no navegador e ativar no gerenciador de senhas o
recurso da ativação em duas etapas, ao acessar o aplicativo ele envia um
código de confirmação além da senha cadastrada.
 2. Não realizar transações ou troca de mensagens importantes, como por
exemplo uma compra online em uma rede wi-fi pública, que geralmente
não é segura, nesse caso o recomendado é a desativação da rede wi-fi e
realizar a transação por seus dados móveis.
3. Não clique em links suspeitos, esses links podem ser enviados através do
seu e-mail, WhatsApp. Sites suspeitos que prometem preços muito
vantajosos, além do normal de pesquisa de mercado, geralmente são
sites falsos, o famoso phishing, é um modo de obter dados dos usuários
através de informações falsas. E, para se proteger você deve sempre
desconfiar do conteúdo, leia atentamente, instalar plugins anti phishing no
navegador é uma ótima sugestão, pois o mesmo irá verificar se há registro
desses sites nas listas negras.

3 - É imprescindível que haja um plano de respostas a possíveis incidentes, é de

suma importância que as empresas tenham consciência que incidentes a
segurança é uma realidade possível, e que precisam estar preparados para atuar
rapidamente e ativamente para proteger seus sistemas.
Esse plano é um documento que deve conter: A descrição dos procedimentos a
serem executados. Quais ferramentas e tecnologias devem ser utilizados, e
quais funcionários e funções e responsabilidades irão exercer para conter o
incidente. É necessário que a empresa garanta suporte financeiro, jurídico e
executivo. Outro ponto crucial é a contratação de terceiros no momento da crise.
Uma documentação após o incidente é necessária para que novos incidentes
estejam respaldados com um plano de ação contendo todas as medidas que
foram efetuadas para que usem com os novos incidentes.