Aula 10 e 11 - Ciclo de Vida do desenvolvimento de Software e seus riscos

Prévia do material em texto

Auditoria de 
Sistemas de 
Informação
Aula 10 /11 - Ciclo de Vida do 
desenvolvimento de Software e seus riscos
Ciclo de 
desenvolvimento de SW
Imagem de Mohamed Hassan por Pixabay.
https://pixabay.com/pt/users/mohamed_hassan-5229782/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3213924
https://pixabay.com/pt//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3213924
1
Planejamento
2
Análise de 
Requisitos
3
Modelagem
4
Implementação
5
Implantação
6
Manutenção
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
Modelagem
4
Implementação
5
Implantação
6
Manutenção
Ciclo de vida de desenvolvimento de software
● Participação dos membros mais experientes.
● Planejamento dos requerimentos de qualidade.
● Mapeamento dos riscos envolvidos no projeto.
○ Identificação de pontos de atenção do projeto.
● Determinação do escopo do projeto.
● Determinação do requisito geral.
1
Planejamento
2
Análise de 
Requisitos
3
Modelagem
4
Implementação
5
Implantação
6
Manutenção
● Viabilidade do Projeto
○ Econômica
○ Legal
○ Operação
○ Técnica
○ Cronograma
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
Modelagem
4
Implementação
5
Implantação
6
Manutenção
● Viabilidade Econômica do Projeto
○ Quanto será investido no projeto?
○ Há espaço no orçamento de empresa para 
desenvolvê-lo?
○ Quanto custará manter no ar este projeto?
○ Qual a fonte de recursos?
○ Qual o valor gerado pelo projeto?
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
Modelagem
4
Implementação
5
Implantação
6
Manutenção
Ciclo de vida de desenvolvimento de software
● Viabilidade Legal do Projeto
○ Sob quais leis o projeto estará regido?
○ Quais os dados manipulados?
○ Está de acordo com LGPD?
○ Existe algum órgão regulador a qual o sistema 
estará sujeito? ANATEL, Bacen, etc
○ Quais os riscos regulatórios?
1
Planejamento
2
Análise de 
Requisitos
3
Modelagem
4
Implementação
5
Implantação
6
Manutenção
● Viabilidade Operacional do Projeto
○ Quais os benefícios operacionais para a empresa?
○ Qual a expectativa do usuário sobre este projeto?
○ Tendo em vista o orçamento, estes benefícios 
superam os custos?
○ Há equipe para prover uma boa operação do 
projeto?
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
Modelagem
4
Implementação
5
Implantação
6
Manutenção
● Viabilidade Técnica do Projeto
○ O parque computacional atual tem condições de 
rodar o projeto?
○ Quais investimentos em tecnologia serão 
necessários?
○ É viável a instalação em ambiente de nuvem 
atual?
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
Modelagem
4
Implementação
5
Implantação
6
Manutenção
● Viabilidade Temporal do Projeto
○ Há equipe suficiente para entregar o projeto no 
tempo programado?
○ O tempo necessário para implementar o projeto é 
viável?
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
Modelagem
4
Implementação
5
Implantação
6
Manutenção
● Entender quais as necessidades dos usuários
● Detalhar o escopo do projeto
○ As funcionalidades pretendidas
○ Os módulos
○ A arquitetura básica
○ As integrações
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
Modelagem
4
Implementação
5
Implantação
6
Manutenção
Contratar vs. Desenvolver
● Pesquisa de mercado
○ Softwares existentes
○ Empresas de outsourcing
● Orçar desenvolvimento externo
● Verificar disponibilidade de equipe interna
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação
5
Implantação
6
Manutenção
Modelagem de alto nível
● Definição do escopo de cada módulo
● Funcionalidades de cada módulo
● Relações e dependência inter-módulos
● Tabelas de banco de dados
● Detalhamento da arquitetura
3
Se
le
çã
o
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação
5
Implantação
6
Manutenção
Modelagem de baixo nível
● Desenho funcional de cada módulo
● Tipos, tamanhos e valores de dados
● Detalhamento das interfaces
● Dependências e incompatibilidades
● Dados de entrada e saída de cada módulo
3
Se
le
çã
o
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação
5
Implantação
6
Manutenção
● Risco de perda de controle do sistema
○ Não disponibilização do código-fonte
● Ponto de não retorno
● Endereçar riscos referentes à qualidade do SW
○ Cruzamento de referências
○ Facilidade de adaptação
○ Preço
3
Se
le
çã
o
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação
5
Implantação
6
Manutenção
● Suporte pós implantação
○ Quem ficará responsável pela operação?
○ Treinamento ou fornecimento da equipe de 
operação
○ Como será feita a manutenção?
○ Risco de falência da desenvolvedora
○ Risco de desinteresse da mantenedora
3
Se
le
çã
o
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação5
Implantação
6
Manutenção
Definição da metodologia de desenvolvimento
● Ágil
○ Scrum
○ Lean
○ Kanban
○ Smart
● Tradicional
3
Se
le
çã
o
4
Configuração
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação5
Implantação
6
Manutenção
Testagem de Software
● Esta fase irá determinar a qualidade geral do 
software desenvolvido:
○ TDD
○ Caixa Branca/Preta/Cinza, Teste unitário
○ Automatização de Testes
○ CI/CD
3
Se
le
çã
o
4
Configuração
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação5
Implantação
6
Manutenção
● Definição dos parâmetros que melhor atendem 
aos requisitos
● Flexibilidade do sistema adquirido
● Suporte da equipe de desenvolvimento externa 
ou equipe de suporte da empresa contratada
3
Se
le
çã
o
4
Configuração
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Desenvolvimento5
Implantação
6
Manutenção 3
Se
le
çã
o
4
Configuração
Teste de Aceitação Final
● Avaliação final dos usuários quanto ao 
alinhamento da solução aos objetivos do projeto.
● Uma vez aprovado, as configurações e/ou 
desenvolvimento são congelados até a 
implantação final do sistema.
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação5
Implantação
6
Manutenção
● Compreende a instalação e disponibilização do 
software para o usuário final.
● Treinamento para o usuário.
● Procedimentos para a operação do sistema.
● Plano para implantação de sistemas (cutover)
○ Paralela, Faseada, abrupta
3
Se
le
çã
o
4
Configuração
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação5
Implantação
6
Manutenção 3
Se
le
çã
o
4
Configuração
Implantação paralela
● Ambos os sistemas rodas ao mesmo tempo.
● Mais custosa e trabalhosa.
● Manter a sincronia entre os sistemas é difícil.
● Evita muitos dos riscos da implantação ao promover 
fácil volta para sistema antigo.
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação5
Implantação
6
Manutenção 3
Se
le
çã
o
4
Configuração
sistema antigo
sistema novo
data de implantação
Implantação paralela
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação5
Implantação
6
Manutenção 3
Se
le
çã
o
4
Configuração
Implantação Abrupta
● A partir de umadata, o sistema é migrado e 
passa-se a utilizar apenas os sistemas novos.
● Mais barato de implementar.
● Mais difícil de voltar para o sistema antigo em 
caso de algum problema
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação5
Implantação
6
Manutenção 3
Se
le
çã
o
4
Configuração
sistema novo
data de implantação
Implantação abrupta
sistema antigo
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação5
Implantação
6
Manutenção 3
Se
le
çã
o
4
Configuração
Implantação Faseada
● É um híbrido das duas estratégias anteriores com 
marcos temporais que regulam a liberação de gradual 
de novos módulos.
● Custo maior que a implantação abrupta mas 
consideravelmente menor que a implantação paralela.
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação5
Implantação
6
Manutenção 3
Se
le
çã
o
4
Configuração
Fase 1
Implantação faseada
sistema antigo
Fase 1 Fase 3
sistema novo
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação
6
Manutenção
Riscos a serem considerados nesta fase
● A fase de Implantação é a mais arriscada de 
todo o ciclo de desenvolvimento de software
● A fase é determinante para o sucesso de todo o 
processo.
● Exige intensa participação de gerentes e TI
3
Se
le
çã
o
4
Configuração
5
Implantação
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação
6
Manutenção
Plano de implantação (cutover)
● O que será migrado?
○ aplicativos, artefatos, dados, ferramentas
● Quando será migrado?
● Quem migrará?
○ Atribuição de responsabilidades
3
Se
le
çã
o
4
Configuração
5
Implantação
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação
6
Manutenção
Plano de implantação (cutover)
● Quais os marcos e fases de migração?
● Detalhamento das tarefas
3
Se
le
çã
o
4
Configuração
5
Implantação
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação
6
Manutenção
Plano de contingência (rollback)
● Quais ações fazer?
● Que dados não podem retroagir?
● Quais procedimentos realizar por tipo de falha 3
Se
le
çã
o
4
Configuração
5
Implantação
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação
6
Manutenção
Ensaio da implantação
● Importância de um ambiente de homologação
● Quanto mais similar os processos de implantação e 
homologação, melhor para os executores do 
projeto
3
Se
le
çã
o
4
Configuração
5
Implantação
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação
6
Manutenção
Comunicação
● Necessário um plano de comunicação para:
○ Informar usuários de datas/horários de 
indisponibilidade
○ Comunicar as estratégias durante a implantação
○ Estabelecer ações específicas a serem executadas 
em determinados momentos da implantação
3
Se
le
çã
o
4
Configuração
5
Implantação
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação
6
Manutenção
Período de Freezing
● Ocorre durante a migração de dados do sistema antigo 
para o novo.
● Consistência de dados.
● Procedimentos claros para uso do sistema antigo após 
migração.
● Contingência para caso haja algum problema.
3
Se
le
çã
o
4
Configuração
5
Implantação
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação
6
Manutenção
Estratégias de Limpeza de dados
● Políticas de retenção e acesso a dados do sistema 
legado.
● Exercícios de limpeza de dados
○ Remoção de registros antigos
○ Remoção de duplicidades
○ Migração de dados legados
3
Se
le
çã
o
4
Configuração
5
Implantação
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação5
Implantação
6
Manutenção
● Revisão pós implementação
○ Requisitos foram atingidos?
○ Regulamentação foi seguida?
○ Custos dentro do esperado?
○ Lições aprendidas
○ Percepção de satisfação dos usuários
3
Se
le
çã
o
4
Configuração
Ciclo de vida de desenvolvimento de software
1
Planejamento
2
Análise de 
Requisitos
3
M
od
el
ag
em
4
Implementação5
Implantação
6
Manutenção
● Política de manutenção
○ Correção de bugs
○ Implementação de novos módulos
● Suporte
○ Adequação da equipe
○ Carga de trabalho
3
Se
le
çã
o
4
Configuração
Ciclo de vida de desenvolvimento de software
Dúvidas?
? ?
? ?
?
?
?
?
?
Riscos no 
Desenvolvimento de 
Software
Imagem de lucabravo em FreePik.
1
Planejamento
2
Análise de 
Requisitos
3
Modelagem
4
Implementação
5
Implantação
6
Manutenção
Da aula passada…
3
Seleção
4
Configuração
Principais riscos
● Falha em atingir os objetivos.
○ Desenvolvedores não seguem regras e padrões propostos.
○ Falta de gerenciamento de projeto.
● Estouro de prazo
○ Falha na gerência de tempo.
○ Falha na delimitação de escopo.
○ Fornecedores não entregam produtos no prazo.
○ Mudança de prioridades.
Foto: Rodeo Project Management Software / Unsplash
Principais riscos
● Falha na implementar o que foi requisitado.
○ Análise de requisitos mal conduzida.
○ Falha no seguimento de padrões de projeto.
● Frustração das expectativas dos usuários.
● Ampliação excessiva/mudança do escopo de trabalho.
● Mudanças na gestão do projeto
○ Eleições
○ Fusões e Aquisições
○ Troca de executivos
Foto: Rodeo Project Management Software / Unsplash
Principais riscos
● Competição.
● Crises/mudanças nas condições econômicas.
● Mudança em regulamentos e leis.
● Mudança no comportamento dos usuários.
Foto: Rodeo Project Management Software / Unsplash
Trilha de auditoria
Funções da trilha de auditoria
● Permite controle de acesso e utilização de 
recursos.
● Possibilita a Recuperação de dados
● Facilita detecção de atividades irregulares.
● Identifica quais usuários executaram quais 
ações.
● Serve como evidência em processos de 
auditoria de sistemas.
Trilha de auditoria
Funções da trilha de auditoria
● Provê dados para suporte de decisões 
estratégicas de gestão.
● Pode servir de base para fundamentar 
melhorias no sistema
○ Otimização de módulos muito demandados
○ Implementação de controles de segurança em áreas 
mais expostas a possíveis ataques
○ Possibilidade de avisos em tempo real
○ Aumento de escopo do sistema para incluir módulos 
de compliance
É um registro de toda 
ação, evento ou 
atividade que algum 
usuário ou sistema 
terceiro executou no 
sistema.
Trilha de auditoria
Fonte: NBR ISO 27002 item 10.10.1
Conteúdo da trilha de auditoria
● Identificação do usuário
● Data, hora e identificação do evento
○ Ex: 23/5/2023 14:34 Logon no sistema
● registro de tentativas de acesso autorizadas e 
rejeitadas
● registro de tentativas de acesso a outros 
recursos e dados aceitas e re rejeitadas
● alteração de configuração do sistema
● uso de privilégio
● uso de aplicações e utilitários do sistema
Fonte: NBR ISO 27002 item 10.10.1
Conteúdo da trilha de auditoria
● arquivos acessados e tipo de acesso
● endereços e protocolos de rede
● alarmes provocados pelo sistema de 
controle de acesso
● ativação e desativação dos sistemas de 
proteção como antivírus e sistemas de 
detecção de intrusos.
Trilha de auditoria
Trilha de auditoria
Conteúdo das trilhas de auditoria
Trilha de Auditoria
Específico da aplicação
Trilha de auditoria do BD
Logs de rede
Logs de S.O.
Trilha de auditoria
Formas de Implementação
● Utilizando funcionalidades existentes no 
sistema.
○ Conciliação dos registros○ Agregação de arquivos
○ Integração de sistemas
● Utilizando Sistemas de Informação de 
Segurança e Gerenciamento de Eventos 
(SIEM)
○ Agregação automática de eventos
○ Configuração do produto
○ Integração com os sistemas e ambientes da 
empresa.
Trilha de auditoria
Formas de Implementação
● Coletor de Log genérico
○ Geralmente é uma solução open source
○ Mais comumente utilizado
○ Pode não ser adequado para a auditoria de SI
○ Pode não fornecer todas as informações 
necessárias em caso de sinistro.
● Plataforma de segurança All-in-One
○ Agrega diferentes soluções genéricas em uma 
suite.
○ Facilita instalação e manutenção
○ É necessária avaliação criteriosa das 
funcionalidades.
Trilha de auditoria
Formas de Implementação
● Soluções personalizadas
○ Desenvolvida internamente ou contratada.
○ Necessita de definição de requisitos.
○ Pode custar caro
● Solução específica de trilha de auditoria
○ Software de prateleira
○ Necessita de verificação de compatibilidade com 
os requisitos da empresa
○ Pode custar caro
○ Pode necessitar de adaptações no ambiente de TI
Trilha de auditoria
Questões importantes
● Quais ações devem ser registradas?
○ Espaço de armazenamento
○ Lentidão de sistemas
○ Dificuldade de mineração dos dados
○ Falta de informação/Seleção de informação
● Privacidade
○ É um problema quando a aplicação tem requisitos 
muito específicos de privacidade.
○ Até que ponto a preservação da privacidade deve 
acontecer em detrimento da auditoria?
Trilha de auditoria
Questões importantes
● Análise da Trilha
○ Automatização?
○ Quais medidas preventivas podem ser adotadas?
● Armazenamento da Trilha
○ Arquivo pode ser apagado pelo atacante
○ Grandes arquivos podem interferir no desempenho 
do sistema
○ Segregação do ambiente de auditoria pode custar 
caro e ser inviável.
Trilha de auditoria
Questões importantes
● Política de retenção de dados da trilha de 
auditoria
○ Risco de ataques de DoS por estouro da 
capacidade de disco
○ Política de apagar dados antigos automaticamente 
pode ser explorada para que um atacante apague 
as evidências de seu ataque.
○ Política de Retenção de dados de auditoria precisa 
ser cuidadosamente desenhada.
Dúvidas?
? ?
? ?
?
?
?
?
?
Segurança da Informação no Desenvolvimento 
de Software
● Análise e especificação dos requisitos de segurança
○ Devem ser considerados durante a especificação de requisitos do negócio
○ Considerar controles automáticos e manuais
○ Levar em conta os danos potenciais ao negócio numa eventual falha de segurança.
○ Implementar os controles de segurança durante os estágios iniciais de 
desenvolvimento.
○ Em produtos comprados, levar em consideração os requisitos de segurança e 
colocá-los em contrato.
○ Analisar funcionalidades adicionais disponibilizadas e, na detecção de eventuais riscos 
de segurança, desabilitá-las até que uma análise formal seja concluída.
Foto: Freepik
● Validação de dados de entrada
○ Entrada duplicada
○ Valores fora de faixa
○ Dados incompletos ou faltantes
○ Volumes de dados excessivos
○ Dados de controle inconsistentes
○ verificação periódica de dados de 
controles para validade
○ inspeção de cópias impressas para 
detectar adulterações
Foto: Freepik
Segurança da Informação no Desenvolvimento 
de Software
○ tratamento de erros de validação
○ testagem de plausibilidade dos 
dados de entrada
○ definição de responsabilidades dos 
dados de entrada
○ registro de atividades de entrada 
de dados
○ prevenção de ataques de dados
■ Buffer overflow
■ injeção de código
Segurança da Informação no Desenvolvimento 
de Software
● Controle do processamento interno
○ uso de funções como incluir, modificar e remover para implementação de alterações 
nos dados.
○ procedimentos para evitar que programas rodem em ordem errada ou permaneçam 
rodando após falha.
○ uso de programas para recuperação de falhas
○ proteção contra ataques de overrun e overflow
○ conciliação de saldos após processamento de lotes/sessões
○ verificação de autenticidade, integridade e outras características de segurança ao 
receber dados de sistemas terceiros
Foto: Freepik
Segurança da Informação no Desenvolvimento 
de Software
● Controle do processamento interno
○ uso de hash para garantir consistência de arquivos e registros.
○ verificações para garantir que programas sejam rodados no tempo correto.
○ criação de trilhas de auditoria
● Controle de integridade de mensagens
○ garantir integridade das mensagens através de hash/checksum ou outro método.
○ utilizar técnicas de criptografia quando autenticação das mensagens for requerida.
Foto: Freepik
Segurança da Informação no Desenvolvimento 
de Software
● Instalação de softwares
○ atualização de softwares somente pode ser executada por administradores treinados e 
autorizados pela gerência.
○ execução apenas de códigos aprovados e programa não deve conter códigos de 
desenvolvimento ou compiladores
○ teste extensivos de sistemas operacionais e aplicativos
■ uso
■ segurança
■ influência em outros sistemas
■ uso amigável
Foto: Freepik
Segurança da Informação no Desenvolvimento 
de Software
● Proteção dos dados para testes em sistemas
○ controle de acesso deve ser aplicado nos sistemas em testes
○ obtenção de autorização para utilização de dados em aplicativo de testes
○ exclusão de todos os dados de testes quando do fim dos procedimentos de testes
○ trilha de auditoria deve ser gerada para testes com dados operacionais.
Foto: Freepik
Segurança da Informação no Desenvolvimento 
de Software
● Controle de acesso a códigos-fonte
○ controlar acesso:
■ código-fonte
■ desenhos
■ especificações
■ planos de verificação e validação
○ evita introdução de mudanças não intencionais ou funcionalidades não desejadas
○ guarda centralizada de código fonte
Foto: Freepik
Segurança da Informação no Desenvolvimento 
de Software
● Controle de acesso a códigos-fonte
○ segregação de ambientes dos sistemas operacionais
○ impedimento de pessoal de suporte de acessar código fonte
○ fornecimento de autorização para 
■ atualização de bibliotecas de programa-fonte
■ entrega de códigos fontes de programa a programadores
○ listagens de programas devem ser mantidas em ambientes seguros
○ registro de auditoria de acessos a códigos fontes de programas
Foto: Freepik
Segurança da Informação no Desenvolvimento 
de Software
● Desenvolvimento Terceirizado (outsourcing)
○ acordos de licenciamento, propriedade do código e direitos de propriedade intelectual.
○ certificação de qualidade e exatidão do serviço realizado.
○ direitos de acessos para auditoria de qualidade e exatidão dos serviços.
○ requisitos contratuais para a qualidade e funcionalidade da segurança do código.
○ testes antes da instalação para detectar presença de código malicioso ou troiano.
Foto: Freepik
Segurança da Informação no Desenvolvimento 
de Software
● Instalação de softwares
○ uso de sistema de controle de configuração
○ existência de estratégia para retorno das configurações anteriores disponibilizada antes 
da implementação de mudanças no sistema.
○ registro de auditoria para atualizações de bibliotecas dos programas operacionais
○ manter versões anteriores de software para contingência
○ manter arquivo de versões anteriores de software juntamente com informações e 
parâmetros requeridos, procedimentos, detalhes e suporte ao software por um prazo 
igual ao prazo de retenção de dados.
Foto: Freepik
Segurança da Informação no Desenvolvimento 
de Software
● Controle de mudanças
○ minimizar a corrupção dos sistemas de informação
○ manutenção de um registro dos níveis acordados de autorização
○ garantia de que mudanças não sejam submetidas por usuários não autorizados
○ análise para que mudanças não comprometam procedimentos de controle e integridade.
○ identificação de software, informação, entidades de BD e hardware que precisam de 
emendas.
○ obtenção de aprovação formal das propostas detalhadas deimplementação
○ garantia de aceitação das mudanças por usuários autorizados antes da implementação.
Foto: Freepik
Segurança da Informação no Desenvolvimento 
de Software
● Controle de mudanças
○ garantia de atualização da documentação do sistema após a conclusão de cada 
mudança.
○ manutenção de um controle de versão de todas as atualizações de software.
○ manutenção de uma trilha de auditoria de todas as mudanças solicitadas.
○ garantia de revisão de toda documentação operacional e procedimentos.
○ implementação de mudanças em horários apropriados, causando o mínimo de 
perturbação possível das atividades.
Foto: Freepik
Dúvidas?
? ?
? ?
?
?
?
?
?
Referências
SCHMIDT,Paulo. SANTOS, José Luiz. ARIMA, Carlos Hideo. 
Introdução à Auditoria de Sistemas de Informação. 2006.
ESCOLA NACIONAL DE ADMINISTRAÇÃO PÚBLICA 
(ENAP). Técnicas de Auditoria Interna Governamental.
UNIVERSIDADE ESTÁCIO DE SÁ. Auditoria e controles de 
seg. e classificação da informação
NAGATA, Hiromassa. GOMES, Estela Maria. Fundamentos 
de Auditoria e Auditoria de Sistemas.