Este é um post disponível para assinantes MVPou para quem possui Créditos DevMedia. Clique aqui para saber mais!
Metodologia ágil no ambiente de segurança - Revista Engenharia de Software Magazine 46
Este artigo discute sobre como aplicar metodologias ágeis fora do cenário de desenvolvimento de software, ou seja, em ambientes de infraestrutura e segurança.
Você não gostou da qualidade deste conteúdo?
(opcional) Você gostaria de comentar o que não lhe agradou?
[Artigo disponível no Leitor Digital DevMedia. Clique aqui para acessá-lo]
> Clique aqui para ler todos os artigos da Engenharia de Software Magazine 46
Desde que o
setor de desenvolvimento de software iniciou a criação de aplicativos web e
móveis, o termo segurança está cada vez mais presente no dia a dia da equipe de
produção. Não é mais nenhum segredo dizer que desenvolver um aplicativo seguro
hoje em dia não depende mais de apenas uma boa implementação para autenticação
de usuário, precauções contra SQL injection, entre outros meios tradicionais de
defesa.
O relatório
disponibilizado anualmente pelo IBM X-Force demonstra um quadro cinzento com a
rápida mutação da segurança na rede sendo caracterizada por ataques de alto
nível e pelo crescimento da vulnerabilidade na rede com ameaças mais
sofisticadas.
Na tentativa
de criarem softwares mais seguros e combaterem os “cibercrimes”, os engenheiros
de software e engenheiros de segurança estão trabalhando cada dia mais próximos
para evolução de um cenário seguro e resistente às ameaças da rede, porém, os
gestores e líderes de TI estão tendo que enfrentar novos desafios. Como
gerenciar ambientes de desenvolvimento ágil com a complexidade do ambiente de
segurança? Como gerenciar ambos os ambientes no modelo ágil?
Foi ao se
deparar com esse desafio que o engenheiro da IBM, Jeff Laskowski, tomou a
decisão de combinar algumas das melhores práticas de desenvolvimento de
software ágil com as melhores práticas de segurança de TI e conseguiu alcançar
resultados interessantes, com um time de segurança mais ágil e preparado para
suportar a demanda de produção da equipe de desenvolvimento.
Tendo isso
como base, este artigo irá apresentar alguns conceitos utilizados por Jeff
Laskowski e complementar com conceitos relacionados aos riscos modernos de
segurança e preocupações, como o clico de vida na fase de segurança. O
desenvolvimento de software a partir de um método ágil não pode diminuir a
importância de um desenvolvimento seguro e a segurança ágil é um novo modelo
proposto, que vem se mostrando eficiente para enfrentar os desafios encontrados
nos dias de hoje.
Ameaças de segurança
Para diminuir
a vulnerabilidade de segurança no desenvolvimento de software, precisamos
conhecer as novas ameaças de segurança que evoluem constantemente, tais como:
·
Computação em
nuvem:
o ambiente de serviços nas nuvens está se expandindo como tendência de mercado
e, particularmente, acredito ser o caminho correto para as organizações. O problema
é que muitas empresas estão olhando para esse ambiente como um cenário mágico,
isento de vulnerabilidade, quando, na verdade, é somente um outro data center
sendo gerenciado por uma nova equipe. Portanto, não podemos descartar nenhum
processo necessário para garantir a segurança do serviço, aplicando com isso
toda e qualquer atividade necessária para sua qualificação.
Este é um post disponível para assinantes MVPou para quem possui Créditos DevMedia. Clique aqui para saber mais!
Flavio Secchieri Mariotti
Mestrando em Engenharia da Computação com ênfase em Engenharia de Software pelo IPT/USP e especialista em engenharia e arquitetura de software. Pós Graduado pelo Instituto Brasileiro de Tecnologia Avançada IBTA em Engenharia de Software baseado em SOA. Bacharel em Sistemas de Informação pela UNIUBE ...
4 COMENTÁRIOS
Estava lendo o artigo e achei muito interessante a ideia de adotar a metodologia ágil num ambiente de segurança, que inclusive estou querendo pesquisar mais sobre o assunto para o meu TCC. Gostaria de saber onde posso pesquisar mais sobre o assunto, porque a minha ideia é implementar a metodologia ágil para a correção de alguma ameaça ou em uma politica de segurança.
Agradeço atenção :)
Karina Machado.
Realmente é um tema muito interessante e pouco explorado. Como sugestão de processo, recomendo a leitura do Processo chamado de Microsoft SDL (http://www.microsoft.com/security/sdl/default.aspx).
Como leitura, gostaria de recomendar dois artigos meus também publicados pela DevMedia:
Microsoft SDL, Security Development Lifecycle.
http://www.devmedia.com.br/microsoft-security-development-lifecycle-revista-net-magazine-102/26961
Desenvolvimento ágil com segurança
http://www.devmedia.com.br/sdl-for-agile-desenvolvimento-agil-com-seguranca-revista-engenharia-de-software-magazine-57/27582
E também dois excelentes livros:
Security Development Lifecycle
By: Michael Howard; Steve Lipner
Agile IT Security Implementation Methodology
By: Jeff Laskowski;
Espero ter ajudado.
Grato,
Flávio S. Mariotti
http://flaviosmariotti.blogspot.com
Ótima as dicas de leitura, adorei e agora começar a ler para fazer o TCC. Em relação ao livros eu encontro na web ou somente em livrarias?
Agradeço atenção,
Karina.
Que bom que as dicas foram úteis. Sobre os livros, eu tenho uma conta no Safaribooksonline.com, uma biblioteca online.
Talvez você encontre em outros lugares, não sei dizer.
Abs,
Flávio
