Engineering for digital security

Segurança através da QualidadeSecurity !3V3NTZ#

2 de dezembro de 2014

Agenda

• Multicert

• Qualidade

• Qualidade e Segurança

• Custos da Qualidade

• Sintomas

• O que fazer

• Pessoas

• Processos

• Ferramentas

• Resultados

MULTICERT

QualidadeSoftware quality is a field of study and practice that describes the desirable attributes of software products.

Two approaches to software quality are prevalent: Defect Management Approach; Quality Attributes Approach.

02/12/2014 Copyright © 2002-2014 Multicert S.A. All rights reserved. 4

The degree to which a set of inherent characteristics fulfills requirements

1. The degree to which a system, component, or process meets specified requirements.

2. The degree to which a system, component, or process meets customer or user needs or expectations.

Qualidade e Segurança

It has been shown that investments in software quality will reduce the incidence of computer security problems, regardless of whether security was a target of the quality program or not.

Ross Anderson, Security Engineering

Software security relates entirely and completely to quality. You must think about security, reliability, availability, dependability — at the beginning, in the design, architecture, test and coding phases, all through the software life cycle. Gary McGraw, Computerworld

Custo da Qualidade

Custo da Qualidade = Custos da Conformidade + Custo da não conformidade PMBOK 5º Edição

Co

nfo

rmid

ade • Prevenção

• Treino

• Documentação

• Verificação

• Ferramentas

• Auditoria

• Testes

• Inspeções

Não

Co

nfo

rmid

ade • Internos

• Retrabalho

• Externos

• Perda de Imagem

• Indeminizações

• Perdas de Negócio

• Manutenção

Sintomas

• Falha nos compromissos: Atraso nas entregas, noitadas, custos descontrolados

• Falta de visibilidade para a gestão.

O que fazer?

Pessoas

Processos

Ferramentas

Pessoas

• Seguem os processos e políticas da organização

• Treino continuo: Processos, segurança

• Cultura: Compromisso, melhoria continua, executar

• Desafio: Gestão da Mudança

Processo sem Pessoas -> Tinta e Papel

Processos

• Descreve quem faz o que, quando e como.

• Trabalhar melhor ≠ Trabalhar mais

• Acumula a experiência e conhecimento

• Deve Medir (e.g. Prazo, Custo, Qualidade)

Pessoas sem processo -> Resultados sem eficiência

Ferramentas

• Automatizam a facilitam a execução

• Aumentam a eficiência

• É necessário integrar

• Exemplo: Gestão de Requisitos, Geração de Métricas, Gestão de Versões

Ferramentas potenciam a eficiência -> mas não criam resultados

Resultados

• Base para melhorar

• Clientes mais satisfeitos

• Recursos humanos mais satisfeitos

• Produtos ajustados ao negócios

• Maior controlo sobre a qualidade

• Visibilidade para a gestão

Engineering for digital security