Pós-graduação: Engenharia da Qualidade de Software
SP_POS_698121_2203_01 2202 – Segurança da Informação – Software
Seguro Victória dos Santos Oliveira
1- No processo de desenvolvimento seguro de software e aplicativos para que
estejam em compliance e que malwares não sejam propagados é imprescindível que requisitos de segurança seja inserido no desenvolvimento. Um dos possíveis ataques é o XSS que é a inserção de códigos no HTTP e que o navegador executa através da inserção de dados, como por exemplo em um formulário que o usuário precisa preencher. Para que isso não ocorra é necessário implementar filtros que bloqueiem a inserção de códigos, validar os dados de entrada e saída do usuário e validar todo o cabeçalho. Os três requisitos fundamentais para que um software seja considerado seguro é o gerenciamento de controle de acessos; validação das informações e gerenciamento dos ataques sofridos. O gerenciamento de controle de acessos tem como principal função fortalecer processos de autenticação, garantindo a segurança das informações, garantindo que o usuário tenha acesso ao que seja realmente necessário. A validação das informações garante que os dados enviados realmente sejam do usuário em um processo de comparação com os dados registrados, e uma etapa fundamental é exigir que o usuário confirme dados ou perguntas, essa forma barra possíveis fraudes. Tudo ocorre por meio de ferramentas automatizadas e inteligência artificial. Por fim o gerenciamento dos ataques sofridos é uma forma de monitorar possíveis ataques, a vigilância contínua das vulnerabilidades ajuda entender onde os pontos sujeitos a riscos estão a tempo de tomar atitudes de melhorias e prevenção. Lembrando que a segurança protege tanto a empresa quanto o cliente.
2- Boas práticas a usuários de dispositivos eletrônicos em relação ao uso de
aplicativos. Há várias boas práticas a serem feitas, como por exemplo: 1. Evitar salvar senhas no navegador e ativar no gerenciador de senhas o recurso da ativação em duas etapas, ao acessar o aplicativo ele envia um código de confirmação além da senha cadastrada. 2. Não realizar transações ou troca de mensagens importantes, como por exemplo uma compra online em uma rede wi-fi pública, que geralmente não é segura, nesse caso o recomendado é a desativação da rede wi-fi e realizar a transação por seus dados móveis. 3. Não clique em links suspeitos, esses links podem ser enviados através do seu e-mail, WhatsApp. Sites suspeitos que prometem preços muito vantajosos, além do normal de pesquisa de mercado, geralmente são sites falsos, o famoso phishing, é um modo de obter dados dos usuários através de informações falsas. E, para se proteger você deve sempre desconfiar do conteúdo, leia atentamente, instalar plugins anti phishing no navegador é uma ótima sugestão, pois o mesmo irá verificar se há registro desses sites nas listas negras.
3 - É imprescindível que haja um plano de respostas a possíveis incidentes, é de
suma importância que as empresas tenham consciência que incidentes a segurança é uma realidade possível, e que precisam estar preparados para atuar rapidamente e ativamente para proteger seus sistemas. Esse plano é um documento que deve conter: A descrição dos procedimentos a serem executados. Quais ferramentas e tecnologias devem ser utilizados, e quais funcionários e funções e responsabilidades irão exercer para conter o incidente. É necessário que a empresa garanta suporte financeiro, jurídico e executivo. Outro ponto crucial é a contratação de terceiros no momento da crise. Uma documentação após o incidente é necessária para que novos incidentes estejam respaldados com um plano de ação contendo todas as medidas que foram efetuadas para que usem com os novos incidentes.