A seguran\u00e7a da informa\u00e7\u00e3o \u00e9 apenas t\u00e3o boa quanto os processos relacionados a ela, ainda assim encontramos muitas organiza\u00e7\u00f5es preocupadas somente se funcionalidades de seguran\u00e7a existem e est\u00e3o ativas em seus sistemas de informa\u00e7\u00e3o, e n\u00e3o como elas s\u00e3o desenvolvidas, implementadas, mantidas e melhoradas.<\/p>\n
Como resultado, muitos sistemas de informa\u00e7\u00e3o falham em proteger a informa\u00e7\u00e3o, n\u00e3o por falta de funcionalidades de seguran\u00e7a, mas porque pr\u00e1ticas inadequadas de desenvolvimento, implementa\u00e7\u00e3o, manuten\u00e7\u00e3o ou melhoria levaram funcionalidades a n\u00e3o funcionar adequadamente ou a serem facilmente contornadas, causando danos contra os quais os neg\u00f3cios estavam contando estar protegidos.<\/p>\n
Este artigo apresentar\u00e1 como um processo de desenvolvimento estruturado (SDLC \u2013 System or Software Development Life Cycle \u2013 Ciclo de Desenvolvimento de Sistema ou software), e os controles de seguran\u00e7a da ISO 27001<\/a> para aquisi\u00e7\u00e3o, desenvolvimento e manuten\u00e7\u00e3o de sistemas podem em conjunto ajudar a aumentar a seguran\u00e7a dos processos de desenvolvimento de sistemas de informa\u00e7\u00e3o, beneficiando n\u00e3o apenas a seguran\u00e7a da informa\u00e7\u00e3o, mas tamb\u00e9m organiza\u00e7\u00f5es e aqueles envolvidos nos processos de desenvolvimento.<\/p>\n Ao implementar pr\u00e1ticas de seguran\u00e7a nos processos internos de desenvolvimento, ou ao demandar que fornecedores os implementem em seus processos, n\u00e3o apenas a pr\u00f3pria informa\u00e7\u00e3o estar\u00e1 melhor protegida, mas organiza\u00e7\u00f5es podem alcan\u00e7ar benef\u00edcios tais como:<\/p>\n Para as equipes de desenvolvimento, os benef\u00edcios seriam:<\/p>\n Deveria ser notado que o grau pelo qual pr\u00e1ticas de seguran\u00e7a deveriam ser impostas deve equilibrar a necessidade por seguran\u00e7a do sistema com a produtividade dos processos, ou voc\u00ea pode terminar trocando um problema de seguran\u00e7a por um problema de produtividade em seu processo de desenvolvimento. Uma ferramenta recomendada para ajudar a encontrar o equil\u00edbrio certo \u00e9 a tabela de avalia\u00e7\u00e3o de risco<\/a>.<\/p>\n O acr\u00f4nimo SDLC pode ser atribu\u00eddo tanto para Sistema ou software quando considerando o ciclo de vida de desenvolvimento. Em resumo, o SDLC cobre os seguintes processos estruturados:<\/p>\n A diferen\u00e7a fundamental com rela\u00e7\u00e3o ao termo \u201cSistema\/Software\u201d \u00e9 que o ciclo de vida de desenvolvimento de Sistema abrange n\u00e3o apenas software, mas tamb\u00e9m hardware, dados, pessoas, processos, procedimentos, instala\u00e7\u00f5es e materiais. A ISO<\/a> (Organiza\u00e7\u00e3o Internacional para Padroniza\u00e7\u00e3o) possui algumas normas cobrindo tanto a abordagem de sistema (ISO\/IEC\/IEEE 15288:2015 e ISO\/IEC TR 90005:2008) quanto a de software (ISO\/IEC 12207:2008 e ISO\/IEC 90003:2014).<\/p>\n A ISO 27001 possui um conjunto de objetivos e controles de seguran\u00e7a recomendados, descritos no Anexo A.14 e detalhados na se\u00e7\u00e3o 14 da ISO 27002<\/a>, para assegurar que a seguran\u00e7a da informa\u00e7\u00e3o \u00e9 uma parte integral do ciclo de vida de sistemas, incluindo o ciclo de vida de desenvolvimento, e ao mesmo tempo cobrindo a prote\u00e7\u00e3o de dados usados em testes. Ao considerar os seguintes controles nos processos do SDLC, voc\u00ea pode torn\u00e1-los mais robustos, e com isso, aumentar a efic\u00e1cia dos sistemas de informa\u00e7\u00e3o desenvolvidos com rela\u00e7\u00e3o a prote\u00e7\u00e3o das informa\u00e7\u00f5es:<\/p>\nPor que desenvolver de forma segura?<\/h2>\n
\n
\n
SDLC: Ciclo de vida de desenvolvimento de sistema ou de software?<\/h2>\n
\n
Aplicando a ISO 27001 no SDLC<\/h2>\n