Yaşlılara Yönelik Hizmetler

Os modelos de maturidade são comuns na Engenharia e Qualidade de Software, para Segurança de Software também existem modelos específicos de maturidade, a seguir apresento os mais conhecidos.

O modelo BSIMM está na versão 4 – Building Security in Maturity Model (BSIMM, 2013) é um estudo de iniciativas de segurança de software do mundo real organizado para que o interessado possa determinar onde está com a sua iniciativa de segurança de software e como evoluir os seus esforços ao longo do tempo. Ele foi inteiramente construído a partir de observações feitas ao estudar cinqüenta e uma iniciativas reais de segurança de software.

A versão BSIMM4 descreve 111 atividades organizadas em doze práticas de acordo com a estrutura de segurança software.

Há doze práticas organizadas em quatro domínios, cada domínio tem três áreas de práticas. Os domínios são os seguintes:

1. Governança: Práticas que ajudam a organizar, gerenciar e medir iniciativa em segurança de software.

2. Inteligência: Práticas que resultam em coleções de conhecimento corporativo utilizados na realização de atividades de segurança de software em toda a organização.

3. Fases do Ciclo de Vida de Desenvolvimento de Software (em inglês - Touchpoints SSDL): Práticas associadas com a análise e garantia de artefatos e processos específicos de desenvolvimento de software

4. Implantação: Práticas que fazem interface com a segurança da rede tradicional e organizações de manutenção de software.

Esta estrutura é mostrada na Tabela 3.1

Tabela 3.1 - Framework de Segurança de Software (BSIMM, 2013) Framework de Segurança de Software

Governança Inteligência Touchpoints SSDL

Implantação

Estratégia e Métricas Modelos de Ataque Análise de Arquitetura Teste de Invasão Conformidade e Política Mecanismos e Projeto de Segurança

Revisão de Código Ambiente de Software Treinamento Padrões e Requisitos Teste de Segurança Gestão de

Configuranção e de Vulnerabilidade O modelo de maturidade tem as atividades divididas em três níveis (de 1 a 3) de maturidade no BSIMM.

Este modelo é bem abrangente cobrindo os quatro domínios, esta pesquisa tem o foco no domínio de Governança e na prática de Estratégia e Métricas. O modelo OWASP-SAMM (Security Assurance Maturity Model) (OWASP- SAMM, 2013) é uma estrutura aberta para ajudar as organizações a formular e

implementar uma estratégia de segurança de software que é feita sob medida para os riscos específicos enfrentados pela organização.

O modelo SAMM é construído sobre um conjunto de práticas de segurança que estão ligados as principais funções de negócios envolvidos no desenvolvimento de software.

Os recursos fornecidos pelo SAMM ajudam a:

 Avaliar as práticas de segurança de software existentes em uma organização;

 Construir um programa de garantia de software de segurança equilibrado em iterações bem definidas;

 Demonstrando melhorias concretas para um programa de garantia de segurança;

 Definir e medir as atividades relacionadas com a segurança em toda a organização.

O modelo SAMM é estruturado em quatro funções de negócios e cada uma delas em três áreas de práticas. Esta estrutura é mostrada na Tabela 3.2

O modelo de maturidade tem as práticas divididas em três níveis (de 1 a 3) de maturidade que estão relacionadas como objetivos a serem atingidos.

Os modelos BSIMM e OWASP-SAMM são bem similares e cobrem quatro domínios, esta pesquisa tem o foco no domínio de Governança e na prática de Estratégia e Métricas do modelo OWASP-SAMM.

Tabela 3.2 - Estrutura do Modelo SAMM (OWASP-SAMM, 2013) Estrutura do Modelo SAMM

Governança Construção Verificação Implantação Estratégia e Métricas Avaliação de

ameaças

Revisão de projeto Gestão da vulnerabilidade Conformidade e

Política

Requisitos de Segurança

Revisão de Código Restrições de Ambiente Educação e

Orientação

Arquitetura de segurança

Teste de Segurança Habilitação de Ambiente

O SSE-CMM® é um modelo de referência de processo. Ele é focado sobre os requisitos para a implementação de segurança em um sistema ou conjunto de sistemas relacionados ao domínio da segurança da tecnologia da Informação. O International Systems Security Engineering Association (ISSEA) definiu a System Security Engineering - Capability Maturity Model (SSE- CMM) (SSE- CMM, 2003), com o objetivo de definir, melhorar e avaliar a capacidade de engenharia de segurança. Este modelo define as características de um processo de engenharia de segurança de 22 passos que é explicitamente definido, gerenciado, medido e controlado.

A Tabela 3.3 mostra a identificação das áreas que exigem a definição de métricas. O modelo representa um guia para organizações que precisam definir um processo de avaliação de segurança utilizado para medir os aspectos de segurança relativos às operações, a informação, redes, pessoal, comunicações e computadores.

Tabela 3.3 - Áreas de processos do SSE-CMM

Áreas de processo de segurança e de métricas de segurança definidas por SSE-CMM

PA01 Administer Security Control PA12 Ensure quality

PA02 Assess Impact PA13 Manage configurations

PA03 Assess Security Risk PA14 Manage Project Risks

PA04 Assess Threat PA15 Monitor and Control Technical Efforts

PA05 Assess Vulnerability PA16 Plan Technical Efforts

PA06 Build Assurance Argument PA17 Define Organization Systems Eng. Process PA07 Coordinate Security PA18 Improve Organization Systems Eng. Process PA08 Monitor Security Posture PA19 Manage product line evaluation

PA09 Provide Security Input PA20 Manage Systems Eng. Support Environment PA10 Specify Security Needs PA21 Provide ongoing skills and knowledge PA11 Verify and Validate Security PA22 Coordinate with suppliers

O modelo tem cinco níveis de capacidade:  Nível 1, “Desenvolvido informalmente”;  Nível 2, “Planejado e acompanhado”;  Nível 3, “Bem definido”;

 Nível 4, “Controlado quantitativamente”;  Nível 5, “Melhoria contínua”.

A norma ISO/IEC 21827 foi preparada pela International Systems Security Engineering Association (ISSEA) que formalmente projetou o Systems Security Engineering — Capability Maturity Model e foi adotada pelo Joint Technical Committee ISO/IEC JTC 1 com sua aprovação pela ISO e IEC (ISO/IEC 21827, 2002).