Curso: Segurança em desenvolvimento de software

Resultado Vestibular 2008.2A
31/07/2008
Professores da FA7 receberão Prêmio no congresso da APIMEC
07/08/2008

Curso: Segurança em desenvolvimento de software

A FA7, através do curso de Sistemas de Informação, lança o curso de extensão Segurança em desenvolvimento de software. O objetivo do curso é conhecer e tratar as vulnerabilidades em aplicações e apresentar como implementar os processos de desenvolvimento de software seguro. O curso terá duração de 20h.

NOVAS DATAS

Período: 27 de setembro a 25 de outubro
Datas: 27/09, 04/10, 11/10, 18/10 e 25/10
Horário: 08h30 às 12h30
Carga Horária: 20 horas

Investimento

Tipo de aluno R$
Profissional de mercado 220,00
Ex-aluno ou estudante de outra instituição de ensino superior 200,00
Estudante FA7 180,00

Expositor: Jackson dos Santos

  • Mestrando do curso de Mestrado Profissional UECE/CEFET-CE, consultor em segurança da informação do Banco do Nordeste. Experiência em análise de sistemas, desenvolvimento em linguagens de alto nível (Ansi C, C++, Visual Basic, Java, Oracle Forms, Reports) e de baixo nível (Assembly) para microcontroladores.

Coordenação: Luiz Humberto Rabelo Sucupira Júnior

  •  MSc., consultor em segurança da informação do Banco do Nordeste, Mestre em engenharia de computação pela UNICAMP, professor do curso de Sistemas de Informação da FA7 e Coordenador do curso de Pós-Graduação em Gestão de Segurança da Informação. Experiência na implantação da norma ISO/IEC 27001:2005, na implantação de grupos de resposta e tratamento de incidentes e em gestão de segurança da informação.

Descrição do Curso e Objetivo

A necessidade de adequação às mudanças tecnológicas, gera a criação de normas e regulamentações como Sarbanes Oxley, ISO/IEC 27001 e 15.408. Os riscos que envolvem as aplicações, exigem cada vez mais, que profissionais envolvidos com desenvolvimento de software se capacitem e entendam os desafios e soluções para tratar os riscos no desenvolvimento de software.

O curso tem como objetivo capacitar gestores e desenvolvedores de software a tratar os riscos que envolvem o desenvolvimento de software.  

Pré-requisito

Possuir conhecimento básico de desenvolvimento de software.

Público Alvo

O curso é aplicável para alunos de cursos de tecnologia da informação, auditores (sistemas e qualidade), profissionais de TI, consultores e gestores de processos (desenvolvimento, segurança da informação e projetos) e desenvolvedores de software.  

Benefícios

Ao término deste treinamento, o participante estará estará apto a:

  • Conhecer a norma ISO/IEC 15.408;
  • Entender as principais vulnerabilidades de um software;
  • Conhecer e aplicar os critérios de normas no desenvolvimento de um software;
  • Utilizar técnicas para garantir a segurança de um software;
  • Implementar processos de segurança em desenvolvimento de software.

 

Conteúdo Programático

  • Visão geral de um processo de desenvolvimento de software;
  • Introdução ao processo de desenvolvimento de software;
  • Modelos de processo de desenvolvimento de software;
  • Conceitos gerais de segurança aplicados ao desenvolvimento de software;
  • Desafios para garantir a segurança de software;
  • Visão geral da ISO/IEC 27001;
  • Visão geral da ISO/IEC 15.408 (Common Criteria);
  • Critérios de avaliação da ISO/IEC 15.408 (Common Criteria);
  • EAL1: Functionally Tested
  • EAL2: Structurally Tested
  • EAL3: Methodically Tested and Checked
  • EAL4: Methodically Designed, Tested and Reviewed
  • EAL5: Semiformally Designed and Tested
  • EAL6: Semiformally Verified Design and Tested
  • EAL7: Formally Verified Design and Tested
  • Implementando processos de segurança em desenvolvimento de software;

      RUP

    • Realizando um Gap Analysis (levantamento das deficiências no processo);

     Implementando um SDL (Security Development Lifecycle);

  • Leadershio and Education
  • The Design Phase
  • Threat Modeling
  • The Development Fase
  • Security Testing
  • Starting Security Push
  • Final Security Reviews
  • The Security Response

       
     As dez principais vulnerabilidades de software (Top Ten OWASP);

  • XSS (Cross Site Scripting)
  • Injection Flaws (Sql Injection e suas variações)
  • Malicious File Execution
  • Insecure Direct Object Reference
  • CSRF (Cross Site Request Forgery)
  • Information Leakage and Improper Error Handling
  • Broken Authentication and Session Management
  • Insecure Cryptographic Storage
  • Insecure Communications
  • Failure to Restrict URL Access
  • Ferramentas para garantir a segurança de software;

      Padrões e Metodologias para garantir segurança de software (OWASP – Open Web Application Security Project);

  •       OWASP-EAPI

     Como tratar os riscos de software;

     Modelagem de Ameaças (análise de riscos) usando a ferramenta da Microsoft.

      Microsoft Threat Modeling Tool

Bibliografia

Innocent Code: A Security Wake-Up Call for Web Programmers
Sverre Huseby

Secure Programming Cookbook

Matt Messier, John Viega
O’Reilly

Writing Secure Code
Michael Howard, David LeBlanc
Microsoft Press

www.owasp.org

www.sans-ssi.org

http://www.sans.org

Norma ISO/IEC 27.001

Norma ISO/IEC 15.408 – Common Criteria for Information Technology Security Evaluation