Este documento apresentará diretrizes práticas e referências para garantir a segurança na comunicação da aplicação durante todo o ciclo de desenvolvimento. Serão abordadas as etapas de Levantamento de Requisitos, Security by Design, Execução Segura, Teste de Segurança e Monitoramento, onde em cada uma delas as definições de segurança na comunicação da aplicação serão apresentadas e tratadas.
O objetivo dessa temática é de definir práticas de segurança na comunicação desde as fases iniciais do desenvolvimento. Garantindo assim a integridade, confidencialidade e autenticidade das comunicações entre componentes da aplicação. Somado a isso é imperativo que as diretrizes aqui apresentadas seja capazes de mitigar riscos associados a vulnerabilidades na comunicação, como ataques de Man-in-the-Middle (MitM) e vazamento de dados sensíveis.
Obs.: Ataques de Man-in-the-Middle, são aqueles nos quais, o atacante realiza a interceptação ou manipula a comunicação entre duas partes.
O processo de segurança na comunicação será aplicado nas seguintes etapas do ciclo de desenvolvimento:
4.1 - Levantamento de Requisitos
Objetivo: Identificar e documentar os requisitos de segurança para a comunicação da aplicação.
Atividades:
Referências:
4.2 - Security by Design
Objetivo: Incorporar segurança desde o início do desenvolvimento.
Atividades:
Referências:
4.3 - Execução Segura
Objetivo: Utilizar práticas seguras no desenvolvimento de código.
Atividades:
Referências:
4.4 - Gerenciamento
Objetivo: Gerenciar e manter a segurança durante todo o ciclo de vida do software.
Atividades:
Referências:
4.5 - Testes de Segurança
Objetivo: Validar a segurança da aplicação através de testes rigorosos.
Atividades:
Referências:
4.6 - Monitoramento
Objetivo: Monitorar continuamente a segurança da aplicação em produção.
Atividades:
Referências:
4.7 - Proteção de Dados Pessoais
Objetivo: Garantir a proteção de dados pessoais conforme regulamentos.
Atividades:
Referências:
|
LEVANTAMENTO DE REQUISITOS |
|
|
Quando acontece Início do ciclo de desenvolvimento, durante a fase de levantamento de requisitos da aplicação. |
Porque deve ser feito Identificar e documentar os requisitos de segurança relacionados à comunicação da aplicação, garantindo a integridade, confidencialidade e autenticidade das informações transmitidas. |
|
Quem define os Atores e Ações da Etapa de Design Coordenação de Desenvolvimento – convocar e definir equipes e responsabilidades para cada fase da etapa em execução. Por exemplo: Analistas de Requisitos, Arquitetos de Segurança e Desenvolvedores. |
Quem define os Atores responsáveis pela Validação do Design Coordenação de Segurança da Informação - Realiza a chamada de equipes para validação das partes da aplicação. Exemplo: a Ilha de SOC para avaliar as estruturas escolhidas para a segurança da comunicação da aplicação. |
|
Quais os documentos necessários para a etapa de Levantamento de Requisitos?
|
|
|
O que precisamos definir na Etapa de Levantamento de Requisitos?
|
|
|
O que precisamos entregar para a próxima etapa (Security by Design)?
Relatório dos Requisitos do Projeto, contendo:
Responsáveis pela entrega: Coordenação de Desenvolvimento, Analistas de Requisitos, Arquitetos de Segurança e Desenvolvedores. |
|
|
Práticas recomendadas
|
|
|
Testes e Avaliações Iniciais
|
|
|
Referências
|
|
|
SECURITY BY DESIGN |
|
|
Quando acontece Durante a fase de design arquitetônico da aplicação, antes do início da execução. |
Porque deve ser feito Integrar práticas de segurança diretamente na arquitetura da aplicação para garantir uma comunicação segura desde o início do desenvolvimento. |
|
Quem define os Atores e Ações da Etapa de Design Coordenação de Desenvolvimento – convocar e definir equipes e responsabilidades para cada fase da etapa em execução. Por exemplo: Arquitetos de Software (para definição do design da aplicação); Engenheiros de Segurança da Informação e Desenvolvedores (para analisar as definições, meios e ferramentas definindo a localização e comportamento de cada parte da aplicação). |
Quem define os Atores responsáveis pela Validação do Design Coordenação de Segurança da Informação – Define e realiza a chamada de equipes para validação das partes da aplicação. Exemplo: a Ilha de SOC para avaliar as estruturas escolhidas para a segurança da comunicação da aplicação. |
|
Os documentos necessários para a etapa de Security by Design e suas definições?
Responsáveis pela entrega: Coordenação (CDESS), Analistas de Requisitos, Arquitetos de Segurança e Desenvolvedores. |
|
|
O que precisamos definir na etapa de Security By Design?
|
|
|
O que precisamos entregar para a próxima etapa (Execução Segura)?
Relatório ou Plano de Design de Sistema Atualizado, contendo:
Responsáveis pela entrega: Coordenação (CDESS), Arquitetos de Software e Engenheiros de Segurança e Desenvolvedores. |
|
|
Práticas recomendadas
|
|
|
Ferramentas recomendadas
|
|
|
Referências:
|
|
|
EXECUÇÃO SEGURA |
|
|
Quando acontece
Durante a fase de execução da aplicação, antes do deploy em ambiente de produção. |
Porque deve ser feito
Garantir que a execução da aplicação seja segura, especialmente no que diz respeito à comunicação, aplicando medidas de segurança no código-fonte. |
|
Quem define os Atores e Ações da Etapa de Execução Segura Coordenação de Desenvolvimento – convocar e definir equipes e responsabilidades para cada fase da etapa em execução. Por exemplo: Equipe de Infraestrutura – para operacionalizar os chamados referentes à estrutura, como por exemplo, a liberação de DNS; Equipe de SOC – para tratar casos de análise de vulnerabilidades excepcionais. |
Quem define os Atores responsáveis pela Validação da Execução Segura Coordenação de Segurança da Informação – Define e realiza a chamada de equipes para validação das partes da aplicação. Exemplo: a Ilha de SOC para avaliar as estruturas escolhidas para a segurança da comunicação da aplicação. |
|
Quais os documentos necessários para a etapa de Execução Segura
|
|
|
O que precisamos definir na etapa de Execução Segura?
|
|
|
O que precisamos entregar para a próxima etapa (Testes de Segurança)? Relatório dos Eventos de Execução do Projeto, contendo:
Responsáveis pela entrega: Coordenação de Desenvolvimento, Equipe de Infraestrutura e Equipe de SOC. |
|
|
Práticas recomendadas
|
|
|
Ferramentas recomendadas
|
|
|
Testes e Avaliações Iniciais
|
|
|
Referências
|
|
|
TESTE DE SEGURANÇA DO PROJETO |
|
|
Quando acontece Após a integração da comunicação na aplicação, como parte do ciclo de testes de segurança contínuos. |
Porque deve ser feito Identificar e corrigir vulnerabilidades relacionadas à segurança na comunicação da aplicação antes do deploy em ambiente de produção. |
|
Quem define os Atores e Ações da Etapa de Teste Coordenação de Desenvolvimento – convocar e definir equipes e responsabilidades para cada fase da etapa em execução. Por exemplo: Analista de Qualidade – para definição de parâmetros a serem levados em consideração nos testes; Equipe de Infraestrutura – para tratar de configurações relacionadas à comunicação, como criptografia, gestão de chaves e certificados; Equipe de Desenvolvimento – realizar testes unitários, automatizados de segurança (SAST e DAST); Equipe de SOC – para tratar casos de análise de vulnerabilidades excepcionais. |
Quem define os Atores responsáveis pela Validação dos Testes Coordenação de Segurança da Informação – Define e realiza a chamada de equipes para validação das partes da aplicação. Por exemplo: Ilha de SOC - para avaliar as estruturas escolhidas para a segurança da comunicação da aplicação; Analista de Qualidade – para avaliação dos parâmetros dos testes e seus resultados. |
|
Quais os documentos necessários para a etapa de Teste de Segurança do Projeto?
|
|
|
O que precisamos definir na etapa de Teste de Segurança do Projeto?
|
|
|
O que precisamos entregar para a próxima etapa (Gerenciamento)?
Relatório de Testes, contendo:
Responsáveis pela entrega: Coordenação de Desenvolvimento, e equipe designada para a etapa. |
|
|
Práticas recomendadas
|
|
|
Ferramentas recomendadas
|
|
|
Testes e Avaliações Iniciais
|
|
|
Referências
|
|
|
GERENCIAMENTO |
|
|
Quando acontece
Ao longo de todo o ciclo de vida do projeto, desde a concepção até a manutenção contínua. |
Porque deve ser feito
Estabelecer processos e práticas contínuas para gerenciar e aprimorar a segurança na comunicação da aplicação ao longo do tempo. |
|
Quem define os Atores e Ações da Etapa de Design
Coordenação de Desenvolvimento – convocar e definir equipes e responsabilidades para cada fase da etapa em execução. Por exemplo: Arquitetos de Software - para analisar as definições que foram utilizadas na aplicação e possíveis alterações; Engenheiros de Segurança da Informação e Desenvolvedores - para analisar os relatórios e resultados buscando possíveis melhorias ou correções na aplicação. |
Quem define os Atores responsáveis pela Validação do Design
Coordenação de Segurança da Informação – Define e realiza a chamada de equipes para validação das partes da aplicação. Por exemplo: Ilha de SOC - para avaliar as mudanças, realizar possíveis testes para novas ferramentas e partes de código e demais alterações e mudanças; Arquitetos de Software – para dar suporte ao processo e avaliar o redesenho da aplicação. |
|
Quais os documentos necessários para a etapa de Gerenciamento?
|
|
|
O que precisamos definir na etapa de Gerenciamento?
|
|
|
O que precisamos entregar para a próxima etapa (Monitoramento de Segurança)?
Relatório de Gerenciamento, contendo:
Responsáveis pela entrega: Coordenação de Desenvolvimento e Coordenação de Segurança da Informação. |
|
|
Práticas recomendadas
|
|
|
Ferramentas recomendadas
|
|
|
Testes e Avaliações Iniciais
|
|
|
Referências
|
|
|
MONITORAMENTO DE SEGURANÇA |
|
|
Quando acontece Durante a operação contínua da aplicação em ambiente de produção. |
Porque deve ser feito Estabelecer um monitoramento constante para identificar e responder a eventos de segurança relacionados à comunicação da aplicação. |
|
Quem define os Atores e Ações da Etapa de Design Analistas de Segurança da Informação, Administradores de Sistemas e Desenvolvedores. |
Quem define os Atores responsáveis pela Validação do Design Equipe de Segurança da Informação. |
|
Documentação de entrada
|
|
|
Ferramentas que podem ser utilizadas no processo:
|
|
|
Práticas recomendadas:
|
|
|
Resultados esperados:
|
|
|
Saídas:
|
|
|
Atividades Sugeridas da Equipe:
|
|
|
Testes:
|
|
|
Referências:
|
|
|
PROTEÇÃO DE DADOS |
|
|
Quando acontece Continuamente ao longo do ciclo de vida do software, com ênfase nas fases de design, desenvolvimento e após cada atualização significativa. |
Porque deve ser feito Devemos assegurar que os dados pessoais sejam protegidos contra acesso não autorizado, perda ou vazamento, cumprindo com regulamentos como LGPD e GDPR, e para manter a confiança dos usuários. |
|
Quem define os Atores e Ações da Etapa de Design Coordenação de Desenvolvimento Equipe de Segurança da Informação, Arquitetos de Software, Consultores de Privacidade e Stakeholders do projeto. |
Quem define os Atores responsáveis pela Validação do Design Coordenação de Segurança da Informação – Equipe de Segurança da Informação, com revisão dos Arquitetos de Software, Consultores de Privacidade e aprovação dos Stakeholders. |
|
Os documentos necessários para definir o Design:
Responsáveis pela entrega: Coordenação (CDESS), Analistas de Requisitos, Arquitetos de Segurança e Desenvolvedores. |
|
|
O que precisamos definir na Etapa de Proteção de Dados Pessoais:
|
|
|
O que precisamos entregar para a próxima etapa (Execução Segura): Relatório ou Plano de, contendo:
|
|
|
Práticas recomendadas:
|
|
|
Ferramentas recomendadas
|
|
|
Testes e Avaliações Iniciais
|
|
|
Referências:
|
|
Este documento teve como objetivo apresentar as melhores práticas e diretrizes para a aplicação dos processos de Segurança de Comunicação, tendo como referência o Guia de Melhores Práticas de Codificação Segura OWASP, os Padrões e Diretrizes para Segurança de Sistemas de Informação do NIST e a ISO 27001. Além disso, foi proposto o alinhamento com a abordagem do DevSecOps, visando assegurar a integridade, confidencialidade e disponibilidade dos dados sensíveis no contexto da saúde.
A integração rigorosa das práticas apresentadas é fundamental para proteger a integridade e confidencialidade dos dados transmitidos.