Banner Portal
Aprimorar segurança de sistemas de informação a partir dos pilares: auditoria com apoio de ferramenta para testes de invasão e capacitação de equipes de desenvolvimento de sistemas
PDF

Palavras-chave

Segurança de sistemas de informação. Programação segura. Auditoria. Teste de invasão. Difusão de conhecimento. Boa e má prática de segurança

Como Citar

RAMOS, Denis Clayton Alves. Aprimorar segurança de sistemas de informação a partir dos pilares: auditoria com apoio de ferramenta para testes de invasão e capacitação de equipes de desenvolvimento de sistemas. Sínteses: Revista Eletrônica do SimTec, Campinas, SP, n. 5, p. 37–37, 2016. Disponível em: https://econtents.bc.unicamp.br/inpec/index.php/simtec/article/view/7022. Acesso em: 7 dez. 2024.

Resumo

A plataforma WEB revolucionou os sistemas de informação facilitando o acesso a estes de qualquer ponto na internet. Contudo, tanto as características dela como as tecnologias envolvidas na construção de sistemas para esta plataforma, potencializam vulnerabilidades de segurança. Apesar dos recursos complementares a plataforma para reforço da segurança (firewall, SSL etc.), é imprescindível, sob a perspectiva de codificação / programação, que desenvolvedores tratem deste assunto durante todo o ciclo de desenvolvimento e ao longo da vida útil dos sistemas em produção. Existe uma infinidade de vulnerabilidades e técnicas de invasão de sistemas a serem usadas, tornando este assunto complexo. Como resposta a estes desafios, algumas medidas são: difundir conhecimentos práticos sobre o tema. Nesse sentido, foram realizadas quatro capacitações: a) Café Cinfotec 02/2014; b) 3º Cinfotec UNICAMP 05/2014; c) Treinamento Diretoria Desenvolvimento Sistemas (DDS) do CCUEC por duas vezes, abrangendo ao todo mais de 100 analistas de sistemas desta universidade. Foram elaborados guias de boas e más práticas de codificação desenvolvidos in house; além da criação de canal de divulgação de vulnerabilidades em APIs, frameworks etc. via Redmine acessível a  qualquer usuário com conta no LDAP UNICAMP. Nestas capacitações, foi demonstrado a invasão de um sistema de exemplo. Outra ação foi a prospecção de ferramenta para teste de invasão de sistemas e a criação de um processo de auditoria de sistemas na DDS/CCUEC baseado na ferramenta escolhida. Há quase um ano este processo é executado periodicamente analisando vários sistemas corporativos desenvolvidos e mantidos por esta unidade.
PDF
Creative Commons License
Este trabalho está licenciado sob uma licença Creative Commons Attribution 4.0 International License.

Copyright (c) 2016 Denis Clayton Alves Ramos

Downloads

Não há dados estatísticos.