CICLO DE VIDA DE

DESENVOLVIMENTO DE
SOFTWARE SEGURO
PONTO DE SITUAÇÃO 14.02.2023

DSID – Direcção de Segurança de Informação e Investigação Digital

SOBRE O PROJETO
Este documento contém um planeamento de alto nível relativo à avaliação de segurança do processo e tecnologias incluídas no
processo de emissão de cartões do Banco BAI.
O Banco BAI está a desenvolver ativamente vários canais digitais para trazer novos serviços e oportunidades aos seus clientes,
trabalhadores e parceiros. Um dos melhores métodos para evitar que bugs de segurança apareçam em aplicações de produção é
melhorar o Ciclo de Vida do Desenvolvimento de Software (SDLC) incluindo a segurança em cada uma das suas fases. Quando um
bug é detetado precocemente dentro do SDLC pode ser tratado mais rapidamente e a um custo mais baixo. A implementação de
iniciativas de cibersegurança no processo de desenvolvimento requer conhecimentos sobre todos os participantes do processo e
tecnologias de desenvolvimento em uso. Considerando isto, logicamente o projeto pode ser dividido pelos seguintes 3 grandes
passos:
• Analisando o processo de desenvolvimento de cada app no âmbito, a equipa envolvida no processo identifica e enumerar as
ferramentas existentes. Esta fase requer recolha de informação do lado do BAI.
• Com base na análise realizada nas etapas anteriores será preparado o roadmap para cada app, onde especificaremos
sequencialmente as fases de implementação de cada, os roadmaps serão diferentes para cada app devido às diferentes equipas
de desenvolvimento envolvidas.
• Numa 3ª fase, especialistas em cibersegurança começam a participar nas reuniões de desenvolvimento de aplicações para
propor, explicar, planear e testar a implementação de controlos de segurança para cada aplicação no âmbito.

DSID – Direcção Segurança de Informação e Investigação Digital

ATIVIDADES DA SEGURANÇA NO DESENVOLVIMENTO

ATIVIDADES DA SEGURANÇA

Adicionar Análise de Revisão de Testes Testes

Prioritize and “sell”
tarefas risco código estáticos dinâmicos A maioria das equipas de desenvolvimento
for dev teams
estão a trabalhar em paradigmas ágeis. E,
na maioria das vezes, estamos a falar de
quadros iterativos, por exemplo, scrum.
Release Como é que a SSDLC se encaixa em
iterações?

Na verdade, temos as mesmas fases do

ciclo de vida de desenvolvimento de
software, só que eles são misturados ou
impostos uns aos outros.
PBR Analytics Planeamento Desenvolvimento Testing Feature Freeze

ITERAÇÕES DE DESENVOLVIMENTO

DSID – Direcção Segurança de Informação e Investigação Digital

INICIATIVAS DE CIBERSEGURANÇA A IMPLEMENTAR
DURANTE O PROJECTO
1. IMPLEMENTAR INSTRUMENTAÇÃO E UTILIZAÇÃO DO CICLO DE VIDA PARA DEFINIR A GOVERNAÇÃO
Os processos de ciclo de vida de software seguros são abordagens proativas para construir a segurança numa aplicação durante todo o desenvolvimento. No essencial, os defensores da
"instrumentação do ciclo de vida" estão a trabalhar fortemente na segurança do software no processo de desenvolvimento de aplicações, recolhendo dados em várias fases do ciclo de vida
do desenvolvimento do software e usando esses dados para criar e impor políticas de segurança de software.

2. GARANTIR QUE OS FUNDAMENTOS DE SEGURANÇA DE ANFITRIÃO E DE REDE ESTÃO NO LUGAR

Tentar implementar a segurança do software antes de colocar a segurança do hospedeiro e da rede no lugar é como colocar sapatos antes das meias. Quase todos os participantes do
BSIMM12 - 91%- iniciaram uma boa base para a segurança do software, garantindo que os básicos de segurança de hospedagem e rede estão em vigor em todos os seus centros de dados e
redes.

3. IDENTIFICAR OBRIGAÇÕES PII

A obtenção de informação pessoalmente identificável (PII) é uma prioridade para muitas organizações, com 89% dos participantes do BSIMM a identificarem os seus requisitos pii e 43% a
terem também construído um inventário PII. O outsourcing para ambientes hospedados não relaxa as obrigações pii e pode mesmo aumentar a dificuldade de reconhecer todas as
obrigações associadas. Compreender onde reside o PII e impedir a divulgação não autorizada de dados pii são passos que todas as empresas de espírito de segurança precisam de tomar.

4. EXECUTAR REVISÃO DE RECURSOS DE SEGURANÇA

Ao iniciar uma análise de arquitetura, as organizações conscientes da segurança centram o processo numa revisão das funcionalidades de segurança. Por exemplo, uma revisão de recursos
de segurança identificaria um sistema que estava sujeito a uma escalada de ataques de privilégio ou uma aplicação móvel que incorretamente coloca PII no armazenamento local.

5. USE TESTADORES DE PENETRAÇÃO EXTERNOS PARA ENCONTRAR PROBLEMAS

Enquanto os campeões internos de segurança de software podem ficar inéditos, usar testadores de penetração externos pode claramente demonstrar à organização que não é imune a
problemas de segurança.

DSID – Direcção Segurança de Informação e Investigação Digital

INICIATIVAS DE CIBERSEGURANÇA A IMPLEMENTAR
DURANTE O PROJECTO
6. CRIAR OU INTERAGIR COM RESPOSTA A INCIDENTES
É importante implementar um processo para que o grupo de segurança de software se ligue à equipa de resposta a incidentes do BAI para manter as informações críticas de segurança
fluindo em ambas as direções. Abrir canais de comunicação com fornecedores de infraestruturas e software é também uma tarefa muito importante para grupos de segurança de software.

7. INTEGRAR E FORNECER FUNCIONALIDADES DE SEGURANÇA

Em vez de ter cada equipa de projeto a implementar as suas próprias funcionalidades de segurança, 80% dos grupos de segurança de software BSIMM12 conduzem ou participam nos
esforços de clearinghouse para funcionalidades de segurança aprovadas. As equipas de projeto beneficiam de implementações que vêm pré-aprovadas pelo grupo de segurança de
software, e o grupo beneficia por não ter de rastrear repetidamente erros que muitas vezes se infiltram em funcionalidades de segurança.

8. UTILIZAR FERRAMENTAS AUTOMATIZADAS

À medida que as aplicações e redes crescem em complexidade, torna-se cada vez mais difícil gerir manualmente a segurança e o cumprimento. As operações manuais podem resultar numa
deteção e reparação mais lentas de problemas, erros na configuração de recursos e aplicação de políticas inconsistentes, deixando uma organização vulnerável a problemas de
conformidade e ataque. divulgação de dados pii são passos que todas as empresas de espírito de segurança precisam tomar.

9. CERTIFIQUE-SE DE QUE QA REALIZA TESTES DE CONDIÇÃO DE VALOR DE BORDA/LIMITE

O valor de empurrar para além dos testes funcionais padrão que apenas utiliza a entrada esperada. Cada vez mais equipas da QA estão a avançar para pensar como um adversário e a ter
uma mentalidade de segurança de software proativa.

10. TRADUZIR RESTRIÇÕES DE CONFORMIDADE AOS REQUISITOS

A tradução de restrições de conformidade em requisitos de software que são depois comunicados às equipas de desenvolvimento está em 77% das estratégias dos participantes do
BSIMM12. Representar restrições de conformidade como requisitos de software ajuda na rastreabilidade e visibilidade em caso de auditoria.

DSID – Direcção Segurança de Informação e Investigação Digital

 PROJECT GANTT DIAGRAM

DSID – Direcção de Segurança de Informação e Investigação Digital

PLAN DO PROJECTO

DSID – Direcção Segurança de Informação e Investigação Digital

PONTO DE SITUAÇÃO
ACTIVIDADES REALIZADAS OBJECTIVOS ALCANÇADOS
• Etapa da Avaliação da Infra-estrutura da Aplicação Agente • A avaliação das infra-estruturas de Agente Bancário está em
Bancário: progresso de 78%
• 2 reuniões sobre o sistema, infra-estrutura e processos
relacionados
• Reunião sobre o repositório de códigos
• Avaliação da configuração de segurança do SO
• O processo de gestão de mudança de aplicações e o processo
de implementação de novas versões foram analisados
ASPECTOS PENDENTES PRÓXIMAS ACTIVIDADES
• A avaliação está a decorrer a um ritmo favorável. • Concluir as entrevistas necessárias e preparar o relatório de
• avaliar 5 servidores avaliação da infra-estrutura Agente Bancário
• Recolher informacão sobre schemas das BD’s
• Recolher informação sobre Log Collection
• Recolher informação sobre Backups
• Entrevistar DevTeam

DSID – Direcção Segurança de Informação e Investigação Digital

 DETAILED PLAN FOR THE 1ST STAGE

DSID – Direcção de Segurança de Informação e Investigação Digital

DESCRIÇÕES DETALHADAS DOS PRIMEIROS PASSOS
Fase 1: Recolha de informação

O principal objetivo da primeira fase é criar visibilidade as-IS como todas as equipas de desenvolvimento estão a abordar as questões de segurança no momento atual, que ferramentas e
tecnologias estão a usar para isso.

• Substato 1: pedido para que o Banco BAI forneça uma informação inicial sobre as equipas e gestores de projetos do BAI incluídos no processo de desenvolvimento para as candidaturas em
âmbito.
• Durante o estágio, a equipa CYBER0 cria um pedido e ajuda a recolher informações do lado do BAI. O seguinte slide inclui a tabela que precisamos preencher. Para recolher
informações sobre o processo de desenvolvimento precisamos de conhecer equipas e gestores envolvidos no processo de desenvolvimento de todas as aplicações em âmbito.
• Resultados: temos visibilidade em relação às equipas envolvidas no processo de desenvolvimento.
• Substage 2: entrevista de nomeação com PMs responsáveis do lado BAI para cada app no âmbito
• Durante o estágio, os especialistas da CYBER0 fazem uma série de entrevistas com PM responsáveis pelas comunicações com programadores para todas as aplicações em âmbito
do lado bai. O principal objetivo é recolher informações sobre a forma exata como cada equipa de desenvolvimento é organizada, metodologias de gestão de projetos em uso,
processo documental e encontrar a possibilidade de implementar a equipa de cibersegurança no processo do ponto de vista da gestão do projeto.
• Resultados: documentamos processo e metodologias em uso para cada equipa.
• Substage 3: Análise as-Is das fases atuais do projeto de desenvolvimento
• Durante a fase, especialistas da CYBER0 entrevistam equipas de desenvolvimento e fazem uma auditoria de ferramentas/software envolvidas no processo de desenvolvimento. O
nosso principal objetivo nesse palco é descrever paradigmas de desenvolvimento usados, quadros, iterações e tecnologias usadas para apoiar o próprio processo de
desenvolvimento.
• Resultado: temos informação sobre tecnologias usadas por todas as equipas de desenvolvimento e metodologias em uso do ponto de vista dos desenvolvedores.
• Substage 4: Resultados da fase
• O final da etapa incluirá a reunião em conjunto com a equipa da DSID para discutir resultados e resultados durante a avaliação do AS-Is, bem como o CYBER0 apresentará um
plano detalhado para a próxima fase, será baseado em resultados e requer resultados da 1ª fase.
• Resultado bem sucedido será:
• Ter compreensão das tecnologias e do processo de gestão para todas as equipas de desenvolvimento em âmbito
• Ter um canal de comunicação com todas as equipas no âmbito
• Ter o seu apoio à implementação de iniciativas de cibersegurança na próxima fase do projeto.

DSID – Direcção Segurança de Informação e Investigação Digital

PROJECT NOTES
Changes in the project Approach:

During the work session between project teams, it was decided to shift approach:
• Instead of executing AS-IS analysis and then GAP analysis for every app in scope, it was decided to do it in the following stages, to improve project management and be able to run some
stages in parallel:
• First wave of assessments will be carried out for Portal Institutional and E-kwanza app (AS-IS, GAP, Roadmap)
• After it, team will initiate the second wave of the assessment (BAI Directo, WEB Services, Navision (SAP)).
• Project GANTT diagram was updated accordingly.

DSID – Direcção Segurança de Informação e Investigação Digital

PEDIDO DE INFORMAÇÃO. ÂMBITO DO PROJETO
Equipa de Divisão responsável do BAI
Aplicação Modelo de Cooperação
desenvolvimento (patrocinador da app)
Desenvolvimento no local do INM, infraestrutura está
BAI Directo, BAI PAGA, NI VISA Claudio Francisco;
INM, SPS hospedada no lado do BAI, misturado entre processos de
connection, Portal Balcão Bernardete Sassamba
equipa
Desenvolvimento no local do INM, infraestrutura está
Antonio Martins;
E-Kwanza AGAP2 hospedada no lado do BAI, misturado entre processos de
Oscar Simao
equipa
Antonio Martins; To Be Defined by Lucilene Team. Analysis of the need due to
Agente Bancario Software Group
Oscar Simao possible application update/change(on pause)
Emilio Paulo;
Sheila Nunes; Desenvolvimento no local do INM, infraestrutura está
Navision -- > SAP CPC IT4ALL
Tchiloya Augusto; hospedada no lado do BAI, misturado entre processos de
MDA I and MDAII INM, COSEBA
Antonio Martins; equipa
Oscar Simao.
Desenvolvimento no local do INM, infraestrutura está
Antonio Martins;
Portal Instutional IT Sector hospedada no lado do BAI, misturado entre processos de
Oscar Simao
equipa
Desenvolvimento no local do BAI
Web Services Braulio Domingos;
Equipa BAI infraestrutura está hospedada no lado do BAI, todos os
(MinFin integration) Giovani Lourenco
processos no lado do BAI

DSID – Direcção Segurança de Informação e Investigação Digital