[Owasp-brazilian] [cisspBR] Re: Segurança em Desenvolvimento é custo?

Wagner Elias wagner.elias at gmail.com
Tue Jan 11 11:05:49 EST 2011


Oi Marlon,

é exatamente este o cenário.

A luta é dura, mas é preciso se aproximar do desenvolvedor e apresentar os
caminhos e conscientizar.

A sindrome do "Player-Defense" não vai acabar tão cedo, pois este
profissional recebe 10 players por dia apresentando uma caixa milagrossa que
resolve os problemas dele.

Abs.

Em 11 de janeiro de 2011 14:00, MARLON BORBA <mborba at trf3.jus.br> escreveu:

>
>
> Da minha parte procuro fazer um esforço e entender como se dá o processo
> de desenvolvimento e tento, da melhor forma que me é possível, conversar
> com os desenvolvedores e chamar a atenção deles para a importância do
> software "seguro a partir da sua construção".
>
> No entanto, conscientizar os desenvolvedores não me parece fácil: quase
> sempre estão focados em custo e em prazo (este, não raro, estourado há
> tempos) e esperam que o profissional de segurança chegue trazendo
> soluções prontas (como implemento isto ou aquilo? não tenho tempo
> para aprender!).
>
> Uma outra barreira difícil de superar é a visão dos desenvolvedores e
> dos chefes deles, que muitas vezes confundem software seguro com
> software provido de segurança tecnológica (SSL/HTTPS, certificados
> digitais, smartcard e outros). São coisas bem diferentes. A tecnologia é
> necessária mas não é suficiente (por exemplo, é inútil implementar
> autenticação por certificados digitais se alguém "empresta" o cartão e o
> PIN para um colega ou para um subordinado).
>
> Concluo, portanto, que a luta está apenas nas primeiras batalhas e que,
> no Brasil, muita coisa precisa mudar, a começar pelas mentes dos
> desenvolvedores. ;-)
>
>
> Abraços,
>
> Marlon Borba, CISSP, APC DataCenter Associate
> Técnico Judiciário · Segurança da Informação
> IPv6 Evangelist · Moreq-Jus Evangelist
> Comissão Local de Resposta a Incidentes - CLRI
> TRF 3 Região
> (11) 3012-2030 (VoIP)
> --
> Governing for enterprise security
> means viewing adequate security as
> a non-negotiable requirement of
> being in business.
> Carnegie-Mellon CERT
> --
>
> >>> Wagner Elias 11/01/11 13:51 >>>
> [...] Para dificultar este cenário, muitas vezes temos profissionais de
>
> segurança que não conhecem o processo de desenvolvimento e acabam
> apenas focando em testes, pois é mais factível para ele. Alguém testa
> e mandam um pdf para a equipe de desenvolvimento pedindo para
> resolver. Ai sim, é mais tempo e mais custo.
>
>  __._,_.___
>   Reply to sender<mborba at trf3.jus.br?subject=Re%3A%20%5BcisspBR%5D%20Re%3A%20%5BOwasp-brazilian%5D%20Seguran%C3%A7a%20em%20Desenvolvimento%20%C3%A9%20custo%3F>| Reply
> to group<cisspBR at yahoogroups.com?subject=Re%3A%20%5BcisspBR%5D%20Re%3A%20%5BOwasp-brazilian%5D%20Seguran%C3%A7a%20em%20Desenvolvimento%20%C3%A9%20custo%3F>| Reply
> via web post<http://groups.yahoo.com/group/cisspBR/post;_ylc=X3oDMTJyN2hsMnVkBF9TAzk3MzU5NzE0BGdycElkAzExMDQ5NjcyBGdycHNwSWQDMTcwNTAwNzE0MARtc2dJZAMyOTgxMARzZWMDZnRyBHNsawNycGx5BHN0aW1lAzEyOTQ3NjE2NzM-?act=reply&messageNum=29810>| Start
> a New Topic<http://groups.yahoo.com/group/cisspBR/post;_ylc=X3oDMTJmYnJmNHFoBF9TAzk3MzU5NzE0BGdycElkAzExMDQ5NjcyBGdycHNwSWQDMTcwNTAwNzE0MARzZWMDZnRyBHNsawNudHBjBHN0aW1lAzEyOTQ3NjE2NzM->
> Messages in this topic<http://groups.yahoo.com/group/cisspBR/message/29810;_ylc=X3oDMTM3M28zMjUzBF9TAzk3MzU5NzE0BGdycElkAzExMDQ5NjcyBGdycHNwSWQDMTcwNTAwNzE0MARtc2dJZAMyOTgxMARzZWMDZnRyBHNsawN2dHBjBHN0aW1lAzEyOTQ3NjE2NzMEdHBjSWQDMjk4MTA->(
> 1)
>  Recent Activity:
>
>
>  Visit Your Group<http://groups.yahoo.com/group/cisspBR;_ylc=X3oDMTJmcDFraGlpBF9TAzk3MzU5NzE0BGdycElkAzExMDQ5NjcyBGdycHNwSWQDMTcwNTAwNzE0MARzZWMDdnRsBHNsawN2Z2hwBHN0aW1lAzEyOTQ3NjE2NzM->
>  LISTA PARCEIRA
> SecurityGuys. Sua lista de empregos na área de Segurança da Informa�ão.
> http://lists.securityguys.com.br/
>  [image: Yahoo! Groups]<http://groups.yahoo.com/;_ylc=X3oDMTJlNTdkNTlzBF9TAzk3MzU5NzE0BGdycElkAzExMDQ5NjcyBGdycHNwSWQDMTcwNTAwNzE0MARzZWMDZnRyBHNsawNnZnAEc3RpbWUDMTI5NDc2MTY3Mw-->
> Switch to: Text-Only<cisspBR-traditional at yahoogroups.com?subject=Change+Delivery+Format:+Traditional>,
> Daily Digest<cisspBR-digest at yahoogroups.com?subject=Email+Delivery:+Digest>•
> Unsubscribe <cisspBR-unsubscribe at yahoogroups.com?subject=Unsubscribe> • Terms
> of Use <http://docs.yahoo.com/info/terms/>
>    .
>
> __,_._,___
>



-- 
Wagner Elias - OWASP Chapter Leader São Paulo
------------------------------------------------------------------
Twitter: www.twitter.com/welias
Blog: http://wagnerelias.com
Profile: http://www.linkedin.com/in/wagnerelias
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20110111/edc4286f/attachment.html 


More information about the Owasp-brazilian mailing list