[Owasp-Recife] [OWASP-Brasilia] Segurança na web - Uma janela de oportunidades

Lucas Ferreira lucas.ferreira at owasp.org
Mon Apr 4 13:39:16 EDT 2011


2011/4/4 Fabricio Braz <fabricio.braz at gmail.com>:
> Olá Lucas,
>
> Parabéns pela iniciativa.
>
> Seguem alguns comentários sobre o documento
>
> Estrutura
> - É pertinente um resumo executivo, para que os executivos, com
> frequente indisponibilidade para ler o documento por completo, possam
> apreciar seus pontos mais importantes.
> - Penso que a numeração das seções do documento facilite a sua discussão.
>

Eu concordo com o resumo executivo, mas acho que a numeração atrapalha
a diagramação do documento.

> Conteúdo
> - O gestor público tem, na maioria das vezes, dificuldade em perceber
> o risco que ele assume por ignorar a segurança das aplicações que ele
> contrata/desenvolve. O caso do MEC é emblemático! Por essa razão,
> penso que deveríamos sugerir com muita ênfase a necessidade de
> treinamento em massa para conscientização dos gestores públicos sobre
> tais riscos. Além disso, considero bastante pertinente também a
> instrumentalização do Ministério Público para que ele tenha condições
> de responsabilizar civilmente tais gestores pelos seus atos /
> negligência diante da segurança de software.

OK. Vou incluir um item na Seção "Por todos os órgãos públicos".

>
> - Sobre a defesa do consumidor, é fundamental apontar de que maneira
> se daria a divulgação das informações. Para isso, seria oportuno
> sugerirmos um instrumento que registrasse a história da aplicação em
> termos das preocupações de segurança ao longo do seu ciclo de vida.
> Imagine se, juntamente com o manual, todas aplicações viessem
> acompanhadas de um "prontuário de segurança" com estrutura padronizada
> de tal maneira, que viabilizasse a comparação do nível de segurança
> esperado entre aplicações concorrentes.

Um exemplo que foi proposto pelo Jeff Williams do OWASP pode ser visto
neste post: http://www.clerkendweller.com/2010/12/10/Security-Labelling.
Minha dúvida é se vale a pena incluir links para esses exemplos (em
inglês) no texto.

>
> Divulgação
> - Gabinete de Segurança Institucional da Presidência da Republica - O
> GSI vem fazendo um trabalho de valor para preparar a administração
> pública federal para os riscos da segurança da informação.
> - Ministério Público - "incentivar" a preocupação com a segurança de software.
> - TCU - echoar as recomendações transcritas no documento em
> orientações normativas para os processos licitatórios.
> - Softex - desempenha um papel estratégico para que o setor de
> software consiga elevar sua qualidade. Tem um história de sucesso pelo
> desenvolvimento e execução do projeto MPS.Br
>

OK. anotado.

Inté,

Lucas

> Abraços,
>
> Fabricio Braz
>
>
> 2011/4/3 Lucas Ferreira <lucas.ferreira at owasp.org>:
>> Oi Barbato.
>>
>> Estou ainda na fase de discussão do assunto dentro do OWASP.
>>
>> A minha ideia é mandar esse material para o maior número de pessoas
>> possível, incluindo aí todas as autoridades que conseguirmos contato.
>> Quando decidirmos fazer a divulgação, vai ser importante manter uma
>> planilha com a lista de pessoas para quem já mandamos o material.
>>
>> Oa capítulos locais podem inclusive alterar a seção de contatos para
>> colocar contatos mais próximos aos governos estaduais ou municipais.
>>
>> Enfim, vamos discutir o conteúdo primeiro e depois montamos uma força
>> tarefa para a divulgação do documento.
>>
>> Inté,
>>
>> Lucas
>>
>> 2011/4/3 L. Gustavo C. Barbato <lgbarbato at owasp.org>:
>>> Lucas,
>>>
>>> Li agora e achei incrível!!! (amazing)... ótimo trabalho Lucas... tenho
>>> plena convicção que se seu material cair em mãos certas, poderemos alcançar
>>> resultados positivos.
>>>
>>> Podemos trabalhar para que ele seja lido por autorizades governamentais da
>>> cidade de Porto Alegre ou do estado do Rio Grande do Sul.
>>>
>>> Somente nos alinhe com relação a sua estratégia porque o segredo do sucesso
>>> está aí -- no trabalho sincronizado e planejado pois divergências políticas
>>> podem por uma iniciativa promissora por água a baixo. (Sabemos que no Brasil
>>> isso acontece muito).
>>>
>>> Podemos conversar mais a respeito se quiser.
>>>
>>> --
>>> L. Gustavo C. Barbato, Ph.D.
>>> Chapter Leader, OWASP Porto Alegre / Brazil
>>> Member, Global Chapter Committee
>>>
>>>
>>> 2011/4/2 Lucas Ferreira <lucas.ferreira at owasp.org>
>>>>
>>>> Pessoal,
>>>>
>>>> estou escrevendo um documento com base nos principais valores do OWASP
>>>> e em ideias colocadas pelo Dinis Cruz (ex-membro do Board do OWASP) em
>>>> seu keynote no IBWAS 2010. A ideia é fazer algumas recomendações de
>>>> como os diferentes setores do governo podem atuar com o objetivo de
>>>> melhorar a segurança na web.
>>>>
>>>> O documento surgiu por acreditarmos que tanto o governo pode
>>>> influenciar positivamente no campo da segurança de aplicações e também
>>>> de que essa área pode aumentar a competitividade do país.
>>>>
>>>> Após algumas discussões mais reservadas, coloco agora o documento para
>>>> discussão em todos as listas dos capítulos brasileiros. Peço que me
>>>> enviem sugestões e comentários até o dia 19 de abril. Depois disso,
>>>> pretendemos ampliar a discussão e divulgação para além do ambiente do
>>>> OWASP.
>>>>
>>>> O documento está disponível no Google Docs pelo link:
>>>>
>>>> https://docs.google.com/viewer?a=v&pid=explorer&chrome=true&srcid=0B80Pq13j4HaqYTJlYjYyMjQtZGIyZS00NGY2LTlmOTMtZDUyMDk5MzUzYmEx&hl=en&authkey=CIi7r5EP
>>>>
>>>> Inté,
>>>>
>>>> Lucas
>>>>
>>>> --
>>>> Homo sapiens non urinat in ventum.
>>>> _______________________________________________
>>>> Owasp-Brasilia mailing list
>>>> Owasp-Brasilia at lists.owasp.org
>>>> https://lists.owasp.org/mailman/listinfo/owasp-brasilia
>>>
>>>
>>>
>>>
>>
>>
>>
>> --
>> Homo sapiens non urinat in ventum.
>> _______________________________________________
>> Owasp-Brasilia mailing list
>> Owasp-Brasilia at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brasilia
>>
> _______________________________________________
> Owasp-Brasilia mailing list
> Owasp-Brasilia at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brasilia
>



-- 
Homo sapiens non urinat in ventum.


More information about the Owasp-recife mailing list