Segurança da informação no desenvolvimento de software: Uma proposta de procedimentos para os sistemas corporativos do Exército Brasileiro

O presente artigo tem por objetivo apresentar uma proposta de
procedimentos de segurança da informação em sistemas corporativos do
Exército Brasileiro. A proposta de procedimentos inclui controles em todas as
fases do ciclo de vida do desenvolvimento de software (CVDS), sendo
composta por quatro itens principais: treinamento do pessoal, revisão do
código-fonte, verificação automatizada de vulnerabilidades no código e, por
fim, casos de teste de segurança e vulnerabilidade. Estão inclusas na proposta
deste trabalho as diretrizes para uma instrução de desenvolvimento de
aplicações seguras, uma listagem de verificações e boas práticas a serem
realizadas na revisão do código-fonte, sugestões de ferramentas
automatizadas disponíveis atualmente e, também, recomendações sobre a
elaboração dos testes de segurança e vulnerabilidade. Serão abordados
conceitos fundamentais da área: confidencialidade, integridade e
disponibilidade, assim como os de autenticação, autorização e auditoria. A
validação da proposta é feita através da aplicação dos procedimentos
sugeridos, com o acompanhamento e medição dos resultados ao longo do
ciclo de vida do desenvolvimento do software. O resultado do trabalho consiste
não apenas dos procedimentos de segurança, mas, também, da sua forma de
aplicação e validação.