Aprimorar segurança de sistemas de informação a partir dos pilares: auditoria com apoio de ferramenta para testes de invasão e capacitação de equipes de desenvolvimento de sistemas

Autores

  • Denis Clayton Alves Ramos Universidade Estadual de Campinas

DOI:

https://doi.org/10.20396/sinteses.v0i5.7022

Palavras-chave:

Segurança de sistemas de informação. Programação segura. Auditoria. Teste de invasão. Difusão de conhecimento. Boa e má prática de segurança

Resumo

A plataforma WEB revolucionou os sistemas de informação facilitando o acesso a estes de qualquer ponto na internet. Contudo, tanto as características dela como as tecnologias envolvidas na construção de sistemas para esta plataforma, potencializam vulnerabilidades de segurança. Apesar dos recursos complementares a plataforma para reforço da segurança (firewall, SSL etc.), é imprescindível, sob a perspectiva de codificação / programação, que desenvolvedores tratem deste assunto durante todo o ciclo de desenvolvimento e ao longo da vida útil dos sistemas em produção. Existe uma infinidade de vulnerabilidades e técnicas de invasão de sistemas a serem usadas, tornando este assunto complexo. Como resposta a estes desafios, algumas medidas são: difundir conhecimentos práticos sobre o tema. Nesse sentido, foram realizadas quatro capacitações: a) Café Cinfotec 02/2014; b) 3º Cinfotec UNICAMP 05/2014; c) Treinamento Diretoria Desenvolvimento Sistemas (DDS) do CCUEC por duas vezes, abrangendo ao todo mais de 100 analistas de sistemas desta universidade. Foram elaborados guias de boas e más práticas de codificação desenvolvidos in house; além da criação de canal de divulgação de vulnerabilidades em APIs, frameworks etc. via Redmine acessível a  qualquer usuário com conta no LDAP UNICAMP. Nestas capacitações, foi demonstrado a invasão de um sistema de exemplo. Outra ação foi a prospecção de ferramenta para teste de invasão de sistemas e a criação de um processo de auditoria de sistemas na DDS/CCUEC baseado na ferramenta escolhida. Há quase um ano este processo é executado periodicamente analisando vários sistemas corporativos desenvolvidos e mantidos por esta unidade.

Downloads

Não há dados estatísticos.

Downloads

Publicado

2016-05-17

Como Citar

RAMOS, D. C. A. Aprimorar segurança de sistemas de informação a partir dos pilares: auditoria com apoio de ferramenta para testes de invasão e capacitação de equipes de desenvolvimento de sistemas. Sínteses: Revista Eletrônica do SimTec, Campinas, SP, n. 5, p. 37–37, 2016. DOI: 10.20396/sinteses.v0i5.7022. Disponível em: https://econtents.bc.unicamp.br/inpec/index.php/simtec/article/view/7022. Acesso em: 6 out. 2022.

Edição

Seção

Eixo 1 - Administração e Gestão