{"id":195,"date":"2022-12-09T07:02:17","date_gmt":"2022-12-09T10:02:17","guid":{"rendered":"https:\/\/www.criptografarphp.com.br\/site\/flash-class-001-boas-praticas-de-seguranca-e-iso-270012013\/"},"modified":"2023-04-10T13:56:52","modified_gmt":"2023-04-10T16:56:52","slug":"flash-class-001-boas-praticas-de-seguranca-e-iso-270012013","status":"publish","type":"post","link":"https:\/\/www.criptografarphp.com.br\/site\/flash-class-001-boas-praticas-de-seguranca-e-iso-270012013\/","title":{"rendered":"Flash Class 001 &#8211; Boas Pr\u00e1ticas de Seguran\u00e7a e ISO 27001:2013"},"content":{"rendered":"\n<p>Nesta primeira &#8220;prelec\u00e7\u00e3o r\u00e1pida&#8221; (10 a 15 minutos), o nosso l\u00edder de projeto Fran\u00e7ois Martineau explica em poucos minutos&#8230;<br \/>\n<iframe src=\"https:\/\/www.youtube.com\/embed\/yNS_93skRuI\" width=\"580\" height=\"385\" frameborder=\"0\" allowfullscreen=\"allowfullscreen\"><\/iframe><br \/>\n00:14:20<br \/>\nNesta primeira &#8220;prelec\u00e7\u00e3o r\u00e1pida&#8221; (10 a 15 minutos), o nosso l\u00edder de projeto Fran\u00e7ois Martineau explica em poucos minutos&#8230;<\/p>\n<p>Oi [M\u00fasica] e a\u00ed pessoal tudo bem faz tempo que a gente n\u00e3o lan\u00e7a conte\u00fados aqui no nosso canal do YouTube mas ele est\u00e1 de volta \u00e0 carga lanchando aqui a Flash Plus e s\u00e3o aulas r\u00e1pidas de 10 a 15 minutos conte\u00fados frio para voc\u00ea sobre seguran\u00e7a da informa\u00e7\u00e3o e continuidade de neg\u00f3cios de servi\u00e7os de ter meu nome \u00e9 transformar de novo eu sou gerente de projeto da gosto do piscina sacada me e convido voc\u00eas para expandir o seu conhecimento vamos l\u00e1 hoje a gente vai falar sobre boas pr\u00e1ticas de desenvolvimento seguro e a ISO 27001 vamos l\u00e1 \u00f3 para a gente falar desse tema a gente tem que come\u00e7ar falando do ciclo tradicional de desenvolvimento versus o ciclo de desenvolvimento seguro Ent\u00e3o a gente vai mostrar uma figurinha aqui para voc\u00eas que representa esses dois tipos de desenvolvimento Ok sempre que o Chico de desenvolvimento tradicional esse c\u00edrculo menor aqui que a gente destacou agora o que tem as fases tradicionais de desenvolvimento de sobra Come\u00e7ando aqui o especifica\u00e7\u00e3o de requisitos que que eu quero ver o sistema interno de funcionamento desempenho n\u00e9 \u00e9 que que eu quero Quais s\u00e3o os objetivos da aplica\u00e7\u00e3o que eu t\u00f4 desenvolvendo n\u00e9 Qual \u00e9 o n\u00famero que tu vai usar essa aplica\u00e7\u00e3o e assim por diante Ent\u00e3o as fase de especifica\u00e7\u00e3o de requisitos mas faz o seguinte design \u00e9 o desenho da arquitetura Geral do sistema aqui vou desenhar que linguagem de programa\u00e7\u00e3o que eu quero usar Que tipo de banco de dados por usar como vai ser a liga\u00e7\u00e3o entre usu\u00e1rio e o sistema se eu vou hospedar o meu software e arquitetura um pr\u00e9vio some Cl\u00e1udia cinco desenho Geral do sistema est\u00e1 aqui a gente passa para fazer o seguinte Kelly desenvolvimento onde vai ficar ocorrer qualifica\u00e7\u00e3o para Net digita n\u00e9 transformar em linhas de c\u00f3digo aquilo que foi conceitualmente pensado desenvolver minha aplica\u00e7\u00e3o eu vou para os testes que testes s\u00e3o esses \u00e9 normalmente s\u00e3o feitos testes de funcionamento saber se aplica\u00e7\u00e3o atende ao requisito de funcionamento dela n\u00e9 Pode ser que a gente leva em que encontra-se requisito de seguran\u00e7a ou n\u00e3o se n\u00e3o tiver maior abordagem consciente de seguran\u00e7a \u00e9 bem prov\u00e1vel que eu deixo passar v\u00e1rias coisas melhor sorte e o Finn cumprido a fase de teste eu vou com o desenvolvimento para o desculpa por depoimentos para colocar o s\u00f3cio de produ\u00e7\u00e3o colocar o s\u00f3cio de produ\u00e7\u00e3o \u00e9 colocar ele para rodar o acesso ao usu\u00e1rio bom legal mas se eu t\u00f4 falando de software seguro eu tenho que acertar camadas aos meus t\u00edtulo ao meu ciclo de desenvolvimento que \u00e9 o seguir software development Life cycle Ok esse cerco Il software baixo sai com acrescenta camadas de seguran\u00e7a nas camadas tradicionais para gente j\u00e1 conhece eu vou fazer uma avalia\u00e7\u00e3o de riscos quando eu sou especificar requisitos em risco de seguran\u00e7a n\u00e9 bom se eu quero que o sistema at\u00e9 determinadas funcionalidades comportamentos quais funcionalidades comportamentos podem atrair riscos podem atrair vulnerabilidade falam sobre isso aqui \u00e9 uma fase seguinte quando eu vou desenhar n\u00e3o \u00e9 o s\u00f3cio eu vou falar de modelagem de amea\u00e7a de design review ou seja em cima daquela cobertura que eu desenhei que amea\u00e7as a orar essa arquitetura frete modem n\u00e3o faz o seguinte eu vou acrescentar aqui a minha fase de desenvolvimento propriamente dita a an\u00e1lise est\u00e1tica EA co difica\u00e7\u00e3o Segura Eu vou olhar blocos de c\u00f3digo para saber se eles atendem a princ\u00edpio de seguinte vai design para isso vai usar na faz o seguinte de testes ela acrescenta a camada de seguir de teste e como viu Ou seja o que que eu t\u00f4 fazendo aqui eu t\u00f4 aplicando testes espec\u00edficos de seguran\u00e7a para chegar software tente vulnerabilidades em todo esse circo a gente t\u00e1 usando como refer\u00eancia que altamente recomendada ao as top ten ok pessoal o fim passei no teste de seguran\u00e7a l\u00e1 no dep\u00f3sito eu tive uma segurar aqui \u00e9 uma avalia\u00e7\u00e3o de seguran\u00e7a e uma configura\u00e7\u00e3o segura do ambiente onde este software vai rodar ou seja ou validar se o ambiente onde os h\u00f3spedes est\u00e1 rodando atende a requisitos de seguran\u00e7a e eu acrescento camadas Seguran\u00e7a ao circo tradicional de desenvolvimento Ok mas o que pede a ISO 27001 com rela\u00e7\u00e3o \u00e0 seguran\u00e7a de s\u00f3 a gente tem um grupo de controles vai l\u00e1 2720 agu\u00e1 14\/2 que possuem Love controles focado especificamente desenvolvimento seguro primeiro neles fala de ter uma pol\u00edtica de desenvolvimento seguro Quais s\u00e3o as diretrizes gerais da empresa com o desenvolvimento seguro que a gente quer assegurar o nosso software segundo controle procedimentos para controle de mudan\u00e7as em Sistemas quando eu vou mudar o sistema eu preciso fazer isso de planejado chego n\u00e3o \u00e9 o terceiro controle revis\u00e3o t\u00e9cnica de aplica\u00e7\u00f5es ap\u00f3s mudan\u00e7as nas plataformas operacionais em outras palavras mudou o ambiente onde o s\u00f3cio roda que pacto isso tem no meu s\u00f3cio tem que fazer alguma corre\u00e7\u00e3o ouvidoria n\u00e9 quarto controle restri\u00e7\u00f5es mudan\u00e7as e pacote de software eu devo ir as mudan\u00e7as ao m\u00ednimo necess\u00e1rio ficar mudando indiscriminadamente traz riscos para o software que voc\u00ea est\u00e1 desenvolvendo princ\u00edpio de seguran\u00e7a engenharia de sistemas aqui a gente vai incorporar por exemplo o \u00e1cido top tem como refer\u00eancia para desenvolver software seguro n\u00e9 eu preciso garantir tamb\u00e9m que meio ambiente desenvolvimento seja Seguro ou seja o controle de acesso ao ambiente armazenamento seguro do c\u00f3digo-fonte n\u00e3o colocar c\u00f3digo forte armazenado por exemplo deste p\u00fablico restringir o acesso n\u00e9 pol\u00edtica de mim el\u00e9trico o s\u00e9timo controle desenvolvimento terceirizado shiltem tem que garantir as mesmas regras de seguran\u00e7a que eu uso internamente testes de seguran\u00e7a de sistemas s\u00e3o 8\u00ba o controle eu tenho que fazer teste de seguran\u00e7a teste de vulnerabilidade para saber se o meu s\u00f3cio apresenta alguma alguma vulnerabilidade que pode ser explorada com atacante externo e um finalmente da costura espa\u00e7o testes de aceita\u00e7\u00e3o dos sistemas do ponto de vista de funcionalidade e do ponto de vista de seguran\u00e7a beleza mas n\u00e3o acabou n\u00e3o t\u00e1 pessoal n\u00f3s Ainda temos outros controles Associados a a deve que impactam deve mas que n\u00e3o s\u00e3o especificamente deve o primeiro deles \u00e9 o controle de acesso ao c\u00f3digo-fonte de programas o n\u00famero muito restrito de pessoas deve ter acesso ao c\u00f3digo-fonte est\u00e1 preferencialmente com princ\u00edpios de Privil\u00e9gio m\u00ednimo e que voc\u00ea n\u00e3o deixe Muitas pessoas t\u00eam acesso a todo o c\u00f3digo fonte a cada um tem acesso ao peda\u00e7o do seu trabalho t\u00e1 bom gest\u00e3o de mudan\u00e7as que embora tenham controle sobre isso l\u00e1 no a 14 gest\u00e3o de mudan\u00e7as como um todo envolve n\u00e3o s\u00f3 a mudan\u00e7a do c\u00f3digo-fonte Nossa mudan\u00e7a da aplica\u00e7\u00e3o mas a mudan\u00e7a associada ao ambiente dessa aplica\u00e7\u00e3o tamb\u00e9m t\u00e1 bom a separa\u00e7\u00e3o dos ambientes de desenvolvimento teste de produ\u00e7\u00e3o s\u00f3 que \u00e9 important\u00edssimo manter apartado dos ambientes de desenvolvimento Onde voc\u00ea est\u00e1 armazenando c\u00f3digo-fonte desenvolvendo pode fonte do ambiente de voc\u00ea testa esse c\u00f3digo fonte e ambos tamb\u00e9m separado o ambiente operacional ambiente de produ\u00e7\u00e3o pr\u00f3ximo controle an\u00e1lise e especifica\u00e7\u00e3o de requisitos de seguran\u00e7a da informa\u00e7\u00e3o pensando no ciclo de desenvolvimento Seguros l\u00e1 no comecinho do circo especifica\u00e7\u00e3o de requisitos \u00e9 onde a gente aplica que esse controle cuidando de antecipar as quest\u00f5es de seguran\u00e7a \u00e9 aqui que nasce o privacy by design e o seguinte vai design e por fim prote\u00e7\u00e3o dos dados de teste preferencialmente n\u00e3o devo usar dados de teste reais se poss\u00edvel usar dados de teste fict\u00edcios e caso eu devo usar dados reais e sejam dados extra\u00eddos de uma forma segura das bases de produ\u00e7\u00e3o e depois descartados corretamente est\u00e1 com haja risco de acesso n\u00e3o autorizado e \u00e9 isso pessoal a ISO 27001 est\u00e1 mudando talvez longe ainda esse ano t\u00f4 toda essa estrutura de controle dela pode mudar quando ela mudar a gente vai trazer as novidades aqui para voc\u00eas t\u00e1 bom mas como \u00e9 que eu implemento tudo isso \u00e9 a forma de implementar isso a\u00ed a gente d\u00e1 algumas dicas primeiro capacita\u00e7\u00e3o desenvolvimento seguro capacity seu time fa\u00e7a cursos que Oriente o seu time de desenvolvimento a sua esteira de de volta seja l\u00e1 como voc\u00ea chama a\u00ed dentro da sua empresa a fase de desenvolvimento seguro desde o in\u00edcio Ok ent\u00e3o falar sobre o astral tem farol sobre vulnerabilidade de aplica\u00e7\u00f5es que est\u00e3o na internet o que isso \u00e9 importante segunda dica definir os requisitos de seguran\u00e7a l\u00e1 no come\u00e7o l\u00e1 no come\u00e7o do seu ciclo de desenvolvimento n\u00e9 olhando para vulnerabilidades que podem ser comumente touradas e e pratique a codifica\u00e7\u00e3o segura o aspecto obt\u00e9m para ir para isso pessoal eu te dar toda dica de Quais s\u00e3o as principais vulnerabilidades dos atacantes externos esporos para que voc\u00ea tem oportunidade de fazer uma Purifica\u00e7\u00e3o que previna a explora\u00e7\u00e3o dessa vulnerabilidade praias e bairros a seguinte by design o teste de seguran\u00e7a de s\u00f3 ser feitos tamb\u00e9m com base na zona habilidades o as para que voc\u00ea consiga explorar se o seu c\u00f3digo apresentando alguma naquelas governabilidade Stop tem por exemplo dados de teste ambiente de teste voc\u00ea tem que manter em ambiente apartado tanto do ambiente de desenvolvimento quando bandeja de produ\u00e7\u00e3o ent\u00e3o separa\u00e7\u00e3o dos ambientes de teste produ\u00e7\u00e3o e desenvolvimento Ok controle de acesso ao c\u00f3digo-fonte j\u00e1 falei sobre isso poucas pessoas devem ter acesso ao c\u00f3digo forte apenas o m\u00ednimo necess\u00e1rio para garantir a\u00ed que voc\u00ea n\u00e3o vai ter acesso n\u00e3o autorizado a esse tesouro que \u00e9 o c\u00f3digo-fonte da sua aplica\u00e7\u00e3o em algumas recomenda\u00e7\u00f5es de solu\u00e7\u00f5es a gente t\u00e1 falando aqui do Jequitib\u00e1 design pra ver se vai design \u00e9 melhor fonte para isso hoje \u00e9 ao a\u00e7\u00facar olation trago aqui para voc\u00eas ent\u00e3o ao Acho que s\u00e3o deixa o que \u00e9 de outra moeda application Security Project voc\u00ea j\u00e1 devem conhecer mas lembre \u00e9 a melhor refer\u00eancia que a gente tem para desenvolvimento Seguro hoje ok volto aqui para gente continuar explorando o ASP top ten 2021 recentemente eu acho p\u00fablico a sua lista nova de vulnerabilidade est\u00e1 tudo aqui n\u00e9 Ent\u00e3o vale a pena olhar para esse se voc\u00ea \u00e9 desenvolvedor se voc\u00ea quer se capacitar em movimento seguro e tem um diferencial a\u00ed direto da equipe t\u00e1 bom ainda temos mais novidades do arco como que eu vou usar o arco como um padr\u00e3o para desenvolvimento seguro a pr\u00f3pria eu acho que idade tem aqui uma p\u00e1gina que diz como voc\u00ea deve fazer os casos de uso \u00e9 olhando l\u00e1 para o as top ten olhando para o padr\u00e3o de verifica\u00e7\u00e3o de seguran\u00e7a de aqui \u00e9 com base na O Astro T\u00e1 voc\u00ea tamb\u00e9m vai ter aqui uma coisa muito legal que eu acho que tem que \u00e9 o em Gold \u00e9 uma aplica\u00e7\u00e3o que \u00e9 o asco desenvolveu propositalmente Com erros dentro daqueles totem para que voc\u00ea como desenvolvedor trem a sua capacidade de bloquear essas amea\u00e7as s\u00f3 que \u00e9 muito legal ainda eu indico para os nossos clientes e parceiros e para qualquer um ou servi\u00e7o muito bacana aqui de uma empresa brasileira sediada em Curitiba que a conviso que fala de seguran\u00e7a em The ropes n\u00e9 para deves de deves para deves n\u00e9 ent\u00e3o a com vis\u00e3o parceiro \u00e9 que a gente indica de confian\u00e7a que ajuda a sua empresa trazer para dentro da esteira de desempenho Lopes a seguran\u00e7a da aplica\u00e7\u00e3o legal dica boa isso a\u00ed n\u00e3o perco para gente resumir aqui as top 3 da USP velho primeira conjunto de vulnerabilidade quebra de controle de acesso isso aqui \u00e9 fresquinho saiu 2021 a fotografia de um modo geral inje\u00e7\u00e3o direta de c\u00f3digos aqui j\u00e1 bem conhecido desenvolvimento inseguro quando voc\u00ea n\u00e3o usa dentro da sua esteira de devolve de desenvolvimento seja l\u00e1 como voc\u00ea chama aos princ\u00edpios de seguran\u00e7a no desenvolvimento n\u00e9 \u00e9 falhas em configura\u00e7\u00f5es de seguran\u00e7a de aplica\u00e7\u00e3o do ambiente da aplica\u00e7\u00e3o componentes vulner\u00e1veis obsoletos aqui tamb\u00e9m bastante comum a biblioteca antiga absoleta n\u00e9 para a identifica\u00e7\u00e3o e autentica\u00e7\u00e3o e n\u00e3o usar MF a n\u00e3o usar um cheque de um duplo chefe de identidade na hora de voc\u00ea fazer o acesso n\u00e9 \u00e9 falha de integridade de software idade as falhas em logs de seguran\u00e7a e de monitoramento Love Is Fire blogs 900 lojas em Seguros e a essa apareceu aqui emm2021avw Serra sai do regresso Ford s\u00e3o a lista das top terminar Ramires Fernanda detalhe solar o Assis por\u00e9m vale a pena para a gente fechar aqui tem algumas refer\u00eancias publicamente dispon\u00edveis de pol\u00edtica dos movimentos e gl\u00f3ria Que bacana aqui \u00f3 pol\u00edtica de desenvolvimento segundo da epimed Solutions Olha que interessante isso aqui eles publicam ela no site deles a pol\u00edtica de desenvolvimento seguro deles ent\u00e3o serve de refer\u00eancia se voc\u00ea quiser construir a sua t\u00e1 bom tem outra aqui que a gente pode colocar a publicamente dispon\u00edvel tamb\u00e9m que \u00e9 humano ao desenvolvimento segundo o TRT 4 a gente bacana isso aqui isso aqui \u00e9 bem legal \u00f3 o manual de desenvolvimento seguro n\u00e9 do Tribunal Regional do Trabalho Olha que legal isso aqui bem completo bastante informa\u00e7\u00e3o e publicamente dispon\u00edvel para voc\u00eas quem quiser receber o material desse v\u00eddeo pessoal ele t\u00e1 salva em PDF basta mandar um e-mail para mim que eu respondo para voc\u00ea enviando esse arquivo t\u00e1 bom a\u00ed voc\u00ea passa acompanhar tamb\u00e9m com a gente as novidades que a gente vai divulgada August dor conte\u00fados novos que a gente vai publicar abra\u00e7o sucesso para voc\u00eas Muito obrigado E a\u00ed<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nesta primeira &#8220;prelec\u00e7\u00e3o r\u00e1pida&#8221; (10 a 15 minutos), o nosso l\u00edder de projeto Fran\u00e7ois Martineau explica em poucos minutos&#8230; 00:14:20 Nesta primeira &#8220;prelec\u00e7\u00e3o r\u00e1pida&#8221;&#8230;<\/p>\n","protected":false},"author":1,"featured_media":196,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[7,2],"tags":[255,48,254,253,257,49,256,30],"acf":[],"_links":{"self":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts\/195"}],"collection":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/comments?post=195"}],"version-history":[{"count":2,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts\/195\/revisions"}],"predecessor-version":[{"id":274,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts\/195\/revisions\/274"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/media\/196"}],"wp:attachment":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/media?parent=195"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/categories?post=195"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/tags?post=195"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}