qa test roadsec-bh - testes de segurança, não comece pelo fim!
DESCRIPTION
Palestra no Evento ROADSEC em Belo Horizonte, abordando a questão dos testes de segurança, visando a questão do processo.TRANSCRIPT
![Page 1: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/1.jpg)
Teste de Segurança: Não comece pelo fim!
Welington Costa Monteiro
QATest Tecnologia
Belo Horizonte, 06 de Setembro de 2014
![Page 2: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/2.jpg)
Agenda
• Apresentação
• Brainstorm : Por que tantas falhas de segurança em
software?
• 1,2,3… testando!
• Por onde começar os testes de segurança?
• Resultados esperados & roadmap
• Conclusão
![Page 3: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/3.jpg)
Apresentação
![Page 4: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/4.jpg)
Proposta de livro submetida ao MCTI/SEPIN 3º colocado no Programa Brasileiro de Qualidade de Software, mantido por esse órgão.
CEO & Founder da startup QATest, Conselheiro Administrativo na FCJ Participações S/A, Gerente de Sistemas em empresa de TI de Governo, Professor Universitário, Consultor e Palestrante.
Apresentação
Membro do grupo de revisão técnica da ISO 29.119
Agile Brazil 2014 – NOV/14 – Florianópolis/SC
![Page 5: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/5.jpg)
A QATest Tecnologia é uma startup que surgiu para atender uma necessidade eminente do mercado atual e do mercado emergente que abrange novas tecnologias como: Mobile, Cloud Computing e Big Data. Tem como foco promover a excelência qualidade de software.
Em fase piloto:
Apresentação
![Page 6: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/6.jpg)
Brainstorm
![Page 7: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/7.jpg)
Brainstorm
![Page 8: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/8.jpg)
As 3 falhas de segurança mais comuns nos softwares:
Brainstorm
Fonte: Instituto SANS – JUL/2014
1. Falhas de Autorização
2. Falhas de Criptografia
3. Buffer Overflow
![Page 9: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/9.jpg)
Por que tantas falhas
de segurança em software?
Brainstorm
![Page 10: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/10.jpg)
1, 2, 3… testando!
![Page 11: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/11.jpg)
![Page 12: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/12.jpg)
70% do esforço do desenvolvimento
nas empresas de software no Brasil é gasto para corrigir falhas imprevistas de software. Fonte DEVMEDIA - 2012
US$ 312 bilhões foi
a estimativa de gastos mundialmente para corrigir falhas de software. Fonte: Cambridge University - 2013
73% das empresas
desenvolvedoras de aplicações móveis não possuem nenhum tipo de processo de testes e qualidade software. Fonte: Pesquisa World Qualtiy Report - 2013
Fonte: T&M Testes – 2012 – Levantamento 300 projetos
1, 2, 3… testando!
![Page 13: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/13.jpg)
445% é a taxa de retorno de
investimento (ROI) que pode ser obtida com uma equipe independente de testes, com um automação de testes de software e que tenha processos de qualidade baseados nas metodologias e técnicas baseado em boas práticas de mercado. Fonte: Rex Black – ISTQB - 2012
29.119 • Padronização Mundial sobre
Testes de Software • Substituição das outras normas
(Ex: ISO 9126, IEEE 829, 1044)
O mercado mundial de testes de software movimentou em 2013, cerca
de 50 bilhões de euros, 2%
deste valor em território nacional.
1, 2, 3… testando!
![Page 14: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/14.jpg)
1, 2, 3… testando!
CONTEXTO CADA VEZ MAIS COMPLEXO SIMPLIFICAR E AGILIZAR O PROCESSO
Sistema
Usuário interage com o sistema
![Page 15: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/15.jpg)
1, 2, 3… testando!
O caos completo
O conflito
CENÁRIO 1 Ausência dos
testes de software
CENÁRIO 2 Equipe
independente de testes
![Page 16: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/16.jpg)
1, 2, 3… testando!
![Page 17: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/17.jpg)
1, 2, 3… testando! Testes Funcionais e não funcionais
Onde estão os testes de segurança?
![Page 18: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/18.jpg)
Por onde começar os testes de segurança?
![Page 19: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/19.jpg)
Por onde começar os testes de segurança?
1º Passo: Entender quais são os objetivos gerais da SI e seus impactos nos sistemas de informação
Gerencial
Operacional
• Planejamento • Avaliação de riscos • Conscientização e treinamento • Certificação, validação e avaliação de segurança • Auditoria
• Gerenciamento de configurações • Continuidade dos serviços • Resposta a incidentes • Manutenção • Proteção de mídias
![Page 20: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/20.jpg)
Por onde começar os testes de segurança?
Técnico
Ambiental
• Controle de acesso • Identificação e autenticação • Proteção de sistemas e comunicações • Monitorar, controlar e proteger comunicações internas e
entre sistemas da informação; • Integridade de sistemas e informações • Segurança em sistemas
• Segurança física e ambiental • Segurança pessoal
1º Passo: Entender quais são os objetivos gerais da SI e seus impactos nos sistemas de informação
![Page 21: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/21.jpg)
Por onde começar os testes de segurança?
2º Passo: Categorização dos níveis de segurança dos sistemas
![Page 22: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/22.jpg)
Por onde começar os testes de segurança?
2º Passo: Categorização dos níveis de segurança dos sistemas: Confidencialidade, Disponibilidade e Integridade
![Page 23: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/23.jpg)
Por onde começar os testes de segurança?
3º Passo: Identificar as normas, frameworks e melhores práticas para SI
• CobiT
• CMMi
• ISO 27002, com ênfase nos itens de segurança de aplicações
• ISO 15408-2, para requerimentos funcionais de segurança
• ISO 15408-3, para as definições de avaliação de segurança e maturidade de sistemas
![Page 24: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/24.jpg)
Por onde começar os testes de segurança?
Exemplo da utilização da ISO 15408
Auditoria de Segurança (FAU) Comunicação (FCO) Criptografia (FCS) Proteção de Dados do Usuário (FDP) Identificação e Autenticação (FIA) Gerenciamento de Segurança (FMT) Privacidade (FPR) Proteção das Funcionalidades de Segurança
(FPT) Utilização de Recursos (FRU) Acesso ao Sistema (FTA) Canais de Confiança (FTP)
CLASSES FUNCIONAIS
![Page 25: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/25.jpg)
Por onde começar os testes de segurança?
Auditoria de Segurança (FAU)
![Page 26: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/26.jpg)
Por onde começar os testes de segurança?
4º Passo: Elaborar um Plano de Segurança da Informação para Sistemas
![Page 27: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/27.jpg)
Por onde começar os testes de segurança?
5º Passo: Definir uma boa ferramenta para análise estática de código e testes no sistema implantado
![Page 28: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/28.jpg)
Resultados esperados & roadmap
![Page 29: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/29.jpg)
Resultados esperados & roadmap
+ Segurança
![Page 30: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/30.jpg)
Resultados esperados & roadmap
ROADMAP
• Mobile
• Cloud Computing
• Big Data
• Internet das Coisas
![Page 31: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/31.jpg)
Conclusão
![Page 32: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/32.jpg)
“Conformidades com os requisitos funcionais e não funcionais explicitamente declarados, padrões de desenvolvimento explicitamente documentados e características implícitas, são esperadas em todo software desenvolvido profissionalmente.” (Pressman)
Conclusão
![Page 33: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/33.jpg)
Dúvidas?
![Page 34: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/34.jpg)
Contato
![Page 35: Qa test roadsec-bh - testes de segurança, não comece pelo fim!](https://reader034.vdocuments.net/reader034/viewer/2022052412/558b50b1d8b42a8e078b4665/html5/thumbnails/35.jpg)
Welington Costa Monteiro
(31) 7168-1564 | 9144-4002
WelingtonMonteiro http://www.slideshare.net/welingtonmonteiro
Conclusão
www.qatest.com.br
www.fabricadetestes.com.br