Baixe o app para aproveitar ainda mais
Prévia do material em texto
Gestão da Segurança da Informação Créditos Centro Universitário Senac São Paulo – Educação Superior a Distância Diretor Regional Luiz Francisco de Assis Salgado Superintendente Universitário e de Desenvolvimento Luiz Carlos Dourado Reitor Sidney Zaganin Latorre Diretor de Graduação Eduardo Mazzaferro Ehlers Diretor de Pós-Graduação e Extensão Daniel Garcia Correa Gerentes de Desenvolvimento Claudio Luiz de Souza Silva Luciana Bon Duarte Roland Anton Zottele Sandra Regina Mattos Abreu de Freitas Coordenadora de Desenvolvimento Tecnologias Aplicadas à Educação Regina Helena Ribeiro Coordenador de Operação Educação a Distância Alcir Vilela Junior Professor Autor Alaíde Barbosa Martins Alexandre de Aguiar Amaral Edquel Bueno Prado Farias Vinícius Moll Revisor Técnico João Carlos Neto Técnico de Desenvolvimento Ozeas Vieira Santana Filho Rodrigo Moura Galhardo Coordenadoras Pedagógicas Ariádiny Carolina Brasileiro Silva Izabella Saadi Cerutti Leal Reis Nivia Pereira Maseri de Moraes Otacília da Paz Pereira Equipe de Design Educacional Alexsandra Cristiane Santos da Silva Ana Claudia Neif Sanches Yasuraoka Angélica Lúcia Kanô Anny Frida Silva Paula Cristina Yurie Takahashi Diogo Maxwell Santos Felizardo Flaviana Neri Francisco Shoiti Tanaka Gizele Laranjeira de Oliveira Sepulvida Hágara Rosa da Cunha Araújo Janandrea Nelci do Espirito Santo Jackeline Duarte Kodaira João Francisco Correia de Souza Juliana Quitério Lopez Salvaia Jussara Cristina Cubbo Kamila Harumi Sakurai Simões Katya Martinez Almeida Lilian Brito Santos Luciana Marcheze Miguel Mariana Valeria Gulin Melcon Mônica Maria Penalber de Menezes Mônica Rodrigues dos Santos Nathália Barros de Souza Santos Rivia Lima Garcia Sueli Brianezi Carvalho Thiago Martins Navarro Wallace Roberto Bernardo Equipe de Qualidade Ana Paula Pigossi Papalia Josivaldo Petronilo da Silva Katia Aparecida Nascimento Passos Coordenador Multimídia e Audiovisual Ricardo Regis Untem Equipe de Design Audiovisual Adriana Mitsue Matsuda Caio Souza Santos Camila Lazaresko Madrid Carlos Eduardo Toshiaki Kokubo Christian Ratajczyk Puig Danilo Dos Santos Netto Hugo Naoto Takizawa Ferreira Inácio de Assis Bento Nehme Karina de Morais Vaz Bonna Marcela Burgarelli Corrente Marcio Rodrigo dos Reis Renan Ferreira Alves Renata Mendes Ribeiro Thalita de Cassia Mendasoli Gavetti Thamires Lopes de Castro Vandré Luiz dos Santos Victor Giriotas Marçon William Mordoch Equipe de Design Multimídia Alexandre Lemes da Silva Cristiane Marinho de Souza Emília Correa Abreu Fernando Eduardo Castro da Silva Mayra Aoki Aniya Michel Iuiti Navarro Moreno Renan Carlos Nunes De Souza Rodrigo Benites Gonçalves da Silva Wagner Ferri Gestão da Segurança da Informação Aula 01 Conceitos sobre segurança Objetivos Específicos • Alinhar os conceitos de segurança da informação para a gestão e continuidade dos negócios. Temas Introdução 1 Conceitos sobre informação e segurança 2 Segurança aplicada no desenvolvimento de software Considerações finais Referências Alexandre de Aguiar Amaral Edquel Bueno Prado Farias Professores Autores Senac São Paulo - Todos os Direitos Reservados Gestão da Segurança da Informação 2 Introdução Olá, aluno! Seja bem-vindo à jornada do conhecimento na qual abordaremos questões sobre Gestão da Segurança da Informação e que envolvem a informação, conceitos e aplicações fundamentais sobre o tema. Também discutiremos a importância da implementação desses conteúdos no desenvolvimento de software. Assim, convido você a refletir sobre esses conceitos no que diz respeito aos seguintes questionamentos que permeiam a segurança da informação: o que é e como proteger as informações? Do que essas informações devem ser protegidas? Nesta aula, vamos abordar temas que respondem a esses e outros questionamentos e que refletem em sua aplicabilidade por meio do desenvolvimento de software. Bons estudos! 1 Conceitos sobre informação e segurança A informação pode ser considerada como o ativo mais valioso de uma organização. A partir da informação é obtido o conhecimento, que pode proporcionar um diferencial competitivo. Sendo assim, garantir a segurança, a integridade e o controle de acesso à informação é vital para uma organização (SÊMOLA, 2014). Outro aspecto importante que devemos considerar refere-se à disseminação da informação e os diferentes meios em que ela pode ser transmitida e armazenada. No passado, os dados eram gravados e acessados diretamente do meio em que estavam escritos. Hoje, eles são armazenados nos mais diversos formatos e locais. Além disso, eles podem ser acessados por diferentes dispositivos (notebooks, smartphones e tablets). Nesse cenário se tornaram imprescindíveis o desenvolvimento e a utilização de mecanismos que garantam a segurança da informação, a fim de evitar roubo, uso indevido ou até mesmo sua destruição (KIM; SOLOMON, 2014). Mas, o que de fato é informação e segurança da informação? Segundo a norma ABNT NBR ISO/IEC 27002:2005, a informação pode existir de diversas formas. Dentre elas, podemos citar a escrita em papel ou armazenada eletronicamente e transmitida por meios eletrônicos, a exemplo do e-mail. Uma vez que a informação se tornou um ativo estratégico e essencial para os negócios de uma organização, garantir sua segurança é primordial. Senac São Paulo - Todos os Direitos Reservados Gestão da Segurança da Informação 3 Agora com a noção do que é, e qual a importância da informação, podemos definir o que é a segurança da informação. A mesma norma define que a segurança da informação consiste em proteger a informação de diferentes tipos de ameaças, visando à garantia da continuidade do negócio, com maximização do retorno sobre os investimentos (ROI – Return On Investment) e as oportunidades de negócio (ABNT, 2005). Para Sêmola (2014), a segurança da informação é a área do conhecimento que tem como foco a proteção contra acessos não autorizados, alterações indevidas ou indisponibilidade da informação. Segundo o autor, o processo de proteção da informação deve ser ininterrupto e ordenado, seguindo uma sequência denominada de ciclo de vida da informação. A Figura 1, a seguir, apresenta os quatro momentos do ciclo de vida da informação, considerando os conceitos de segurança. Figura 1 – Ciclo de vida da informação Autenticidade Armazenamento Manuseio Integridade Disponibilidade Co nfi de nc ial ida de Descarte Transporte Legalidade Fonte: Sêmola (2014, p. 11). Além do ciclo de vida, a Figura 1 apresenta os três princípios essenciais da segurança da informação: confidencialidade, integridade e disponibilidade. De acordo com Kim e Solomon (2014), esses princípios devem ser garantidos para que a informação seja considerada segura. Mas, o que dizem estes princípios? Em Harris (2013), vamos encontrar a resposta a seguir: Senac São Paulo - Todos os Direitos Reservados Gestão da Segurança da Informação 4 • Integridade: significa a garantia da exatidão, confiabilidade das informações e sistemas, impedindo qualquer alteração não autorizada; • Confidencialidade: somente pessoas devidamente autorizadas devem ter acesso à informação. Garante o nível necessário de sigilo em cada função de processamento de dados, ao mesmo tempo em que impede a divulgação não autorizada da informação; • Disponibilidade: a informação deve estar disponível para a pessoa autorizada, quando solicitada. Garantir a disponibilidade envolve permitir o acesso seguro aos dados e recursos somente a usuários autorizados. Portanto, é necessário que os dispositivos de rede, computadores e aplicações apresentem um nível admissível de desempenho e que tenham a capacidade de recuperação de eventuais interrupções (e.g., falhas de hardware de rede) de modo rápido e seguro, não afetando a produtividade da organização. Apresentaremos agora algumas definições e terminologias de segurança da informação queserão muito úteis durante esta nossa jornada de conhecimento, de acordo com a ISO/ IEC TR 18044: 2004. São elas: evento de segurança da informação, incidente de segurança da informação e risco. A seguir, faremos o detalhamento de cada uma delas. • Evento de segurança da informação: ocorrência em um sistema, serviço ou rede, que sugere uma presumível violação na política de segurança, uma falha de controles ou ainda uma ocorrência previamente ignorada, que possa ser relevante para a segurança da informação. • Incidente de segurança da informação: eventos de segurança da informação indesejados ou imprevistos, com grande perspectiva de afetar as operações do negócio e ameaçar a segurança da informação (ISO/IEC TR 18044:2004). • Risco: considerado como a probabilidade de que algo ruim aconteça a um bem, por exemplo, um incidente de segurança da informação (KIM; SOLOMON, 2014). Crimes cibernéticos atingem diariamente 77 mil brasileiros, o prejuízo anual é de R$ 104 bilhões. No mundo, o número de vítimas diárias é de 1 milhão. O prejuízo anual, em dólares, é de US$ 388 bilhões. Segundo estudos das empresas McAfee, Intel e do Centro de Estratégia de Estudos dos Estados Unidos, a escala de perdas por crimes e interrupção de negócios contra o total de valores transacionados na internet é algo em torno de 15% a 20% (ARMSTRONG, 2015). 1.1 Noções de segurança computacional A informação não está mais trancada em um cofre ou restrita a um escritório físico ou prédio, ela está no mundo virtual, e pode estar sendo compartilhada com os colaboradores, parceiros de negócio e clientes. Hoje, a informação em forma digital está armazenada em dispositivos físicos ou em transmissão via internet. Assim, a sua proteção lógica e física se torna fundamental. Senac São Paulo - Todos os Direitos Reservados Gestão da Segurança da Informação 5 De forma geral, podemos categorizar a segurança em três grupos, conforme descrito por Sêmola (2014): a segurança física, que se constitui de regras e controle de acesso aos dispositivos que armazenam ou transmitem a informação; a segurança lógica, que traz mecanismos de controle e proteção contra acessos indevidos à informação nos meios de comunicação de dados; e a segurança humana, que define formas de prevenção e minimização das possibilidades de incidentes causados por colaboradores ou terceirizados. A partir dessas informações, podemos definir como fazer (organização) e o que fazer (ações e técnicas) para prover a segurança da informação; ou seja, como criar meios de controles no contexto da segurança da informação. Sabendo que o objetivo, em essência, é o de preservar os três princípios da segurança da informação, vamos agora analisar alguns meios para alcançá-los. São eles: criptografia, controle de acesso e backup. Na sequência, detalharemos cada um deles. A criptografia é o método ou ciência que torna uma mensagem incompreensível para terceiros, permitindo apenas que o emissor e o destinatário que tenham a chave de encriptação possam decifrar e ler a mensagem com clareza (KIM; SOLOMON, 2014). Uma aplicação da criptografia está na utilização de Rede Privada Virtual (VPNs - Virtual Private Network) que permite o uso da internet (rede pública), garantindo a privacidade (FOROUZAN, 2012). Segundo Kim e Solomon (2014) e Harris (2013), o controle de acesso é outro modo de se manter a confidencialidade. Os controles de acesso são atributos de segurança, que têm como finalidade definir de que modo os usuários e sistemas de comunicação interagem, permitindo o acesso somente a quem foi dada a permissão. O controle de acesso e a criptografia proporcionam a confidencialidade e a integridade dos dados. Porém, há incidentes que afetam a disponibilidade dos dados, necessitando de outras soluções para mitigar e/ou diminuir o impacto causado. Dentre elas está o backup de dados. O backup é um instrumento que permite a cópia de um ou mais diretórios de um computador para outros discos internos ou externos de armazenamento, sendo que existem diversos métodos para a realização de backup. Contudo, devem ser considerados os aspectos de recuperação e os requisitos de retenção, pois eles são essenciais para se implementar uma solução bem-sucedida (GNANASUNDARAM; SHRIVASTAVA, 2012). Acesse o link disponível na Midiateca e conheça mais sobre as definições das formas de implementação de backups. Senac São Paulo - Todos os Direitos Reservados Gestão da Segurança da Informação 6 1.2 Vulnerabilidade, ameaças e classificação dos ataques Nos últimos anos temos observado o aumento expressivo de vulnerabilidades dos sistemas, por consequência o surgimento de constantes ameaças e ataques. Há alguns pontos que podemos considerar, na tentativa de entendermos a razão desse aumento. Dentre eles destacamos o aumento da complexidade dos sistemas, profissionais com baixo ou nenhum conhecimento dos mecanismos de segurança, além da pressão do mercado para se reduzir o tempo de produção, denominada TTM (Time To Market), de novos ou versões de sistemas (software e hardware). Um exemplo desse último ponto pode ser observado nas empresas voltadas para a produção dos dispositivos móveis, como smartphones e tablets. Em função da redução do tempo para planejar, desenvolver e principalmente testar os sistemas, o surgimento de vulnerabilidades se torna inevitável (STAMP, 2011). De acordo com Mitre (2015), o site CVE Details apresenta estatísticas e quais vulnerabilidades foram identificadas em diferentes sistemas desde 1999. As estatísticas mostram que o surgimento de novas vulnerabilidades tem crescido e estão presentes nos diversos sistemas, inclusive aqueles desenvolvidos por grandes corporações, incluindo Google, Apple, IBM, Microsoft, HP, Cisco, Adobe, Oracle, dentre outras. Mas, então, qual é a definição de vulnerabilidade, ameaça e ataque? Ao analisar as definições de Harris (2013), Peltier (2010) e Sêmola (2014), podemos compreender que uma vulnerabilidade advém de fragilidades de um ativo ou grupo de ativos que podem ser exploradas por uma ou mais ameaças. Vulnerabilidades podem surgir na ausência de uma proteção ou falha nos processos de segurança, software, controles internos do sistema ou ainda em sua implementação. Ameaça é um risco potencial associado à exploração de uma vulnerabilidade, que pode resultar em dano para um sistema ou organização. De acordo com Sêmola (2014), as ameaças podem ser classificadas segundo sua origem, conforme apresentado na Figura 2: Senac São Paulo - Todos os Direitos Reservados Gestão da Segurança da Informação 7 Figura 2 – Classificação das ameaças Causadas por fenômenos da natureza Ex.: inundações, tornados, raios etc. NATURAIS Causadas por uma ação relacionada ao desconhecimento ou à ocorrência de um acidente Ex.: erro humano, incêndio não intencional etc. HUMANAS ACIDENTAIS OU INVOLUNTÁRIAS Causadas de forma deliberada por algum “atacante”. Ex.: sabotagem, terrorismo, invasão de redes e computadores etc. HUMANAS INTENCIONAIS OU VOLUNTÁRIAS Fonte: Adaptada de Sêmola (2014). Segundo Peltier (2010), uma ameaça envolve três aspectos principais: o agente (quem), a motivação (o porquê) e os resultados (o impacto), sendo que ela explora uma vulnerabilidade, geralmente através de um ataque. Podemos então considerar que um ataque é a consumação de uma ameaça, utilizando técnicas que violam as políticas de segurança de um sistema em razão da existência de uma vulnerabilidade. Stallings (2008) classifica um ataque como ativo e passivo; sendo que ataque ativo é aquele responsável por modificar um recurso do sistema ou comprometer sua operação, considerada normal; e o ataque passivo tem por objetivo apenas observar (coletar) informações sem afetar sua operação: um exemplo é a análise de tráfego de rede por um atacante. Dentro desse escopo de tipo ativo e passivo, há ainda quatro categorias de ataques, de acordo com Kim e Solomon (2014), conforme detalhado no Quadro 1. Quadro1 – Categorias de ataques Categoria Descrição Tipo Fabricações Criação não autorizada de dados (falsificação). Ativo Interceptações Escuta da transmissão para captura de dados. Passivo Interrupções Desativação de uma via de comunicação, visando o bloqueio da transmissão de dados. Ativo Modificações Alteração ou adulterações de dados em arquivos ou pacotes transmitidos pela rede (internet). Passivo Fonte: Adaptado de Kim e Solomon (2014). Senac São Paulo - Todos os Direitos Reservados Gestão da Segurança da Informação 8 A seguir apresentamos alguns ataques à informação e aos sistemas (CERT.br, 2015): • Códigos maliciosos (malware): código ou software designado para danificar, roubar ou comprometer um sistema computacional. Alguns tipos específicos de softwares maliciosos são: ▫ Vírus de macro: infectam os documentos manipulados por aplicativos como Word e Excel. ▫ Cavalo de Troia: também conhecido como trojan, um código malicioso que se apresenta como um programa inofensivo. Porém, uma vez instalado no computador da vítima, permite o controle da máquina infectada remotamente. ▫ Spyware: software que coleta dados de um computador sem o conhecimento e consentimento do usuário. ▫ Exploit: software de computador ou uma sequência de comandos que explora as vulnerabilidades de um sistema computacional. • Sniffers: conhecidos como softwares “farejadores”, que espionam a comunicação, capturando e analisando o tráfego de dados em uma rede. • Port scanner: softwares que buscam identificar portas de comunicação abertas de um computador. • Backdoor: ou “porta dos fundos”, é uma lacuna, normalmente depositada de forma intencional pelo programador, que permite a invasão ao sistema. • DoS (Denial of Service): é um ataque que interrompe total ou parcialmente o acesso a um sistema/aplicação para usuários autênticos. Esse é o tipo de ataque fácil de realizar, e um dos mais poderosos contra a disponibilidade do sistema ou informação. Os ataques à segurança da informação estão cada vez mais sofisticados, exatamente por isso é importante conhecê-los para se proteger. Acesse a Midiateca para conhecer a Cartilha de Segurança para Internet, que trata sobre os ataques na internet. Agora que sabemos o que, como e do que se proteger, vem a seguinte pergunta: como aplicar estes conceitos no desenvolvimento de software? No tópico a seguir, trataremos desse assunto. Senac São Paulo - Todos os Direitos Reservados Gestão da Segurança da Informação 9 2 Segurança aplicada no desenvolvimento de software Normalmente um software é desenvolvido para, em primeiro lugar, ser funcional, sendo que os requisitos de segurança são colocados em segundo plano. Porém, funcionalidade e segurança deveriam ser planejadas de forma integrada em cada uma das fases do ciclo de vida de desenvolvimento de software (HARRIS, 2013, p. 1081). Temos que entender que um modelo de ciclo de vida de desenvolvimento de software é dividido em diferentes fases. A seguir, apresentamos as principais fases do desenvolvimento, bem como os aspectos relacionados à segurança (SOMMERVILLE, 2011; PRESSMAN, 2011; HARRIS, 2013). São eles: levantamento, desenvolvimento, implantação, operação e manutenção no sistema e eliminação. Detalharemos cada um deles a seguir: a. Levantamento: definição da necessidade de um novo sistema. É quando se constituem os requisitos relacionados à segurança da informação. Deve ser analisado em qual ambiente o sistema irá operar, bem como identificar as possíveis vulnerabilidades e ameaças em potencial nesse ambiente. Nesse ponto alguns questionamentos referentes à segurança devem ser feitos: qual é o nível de proteção que o sistema precisará fornecer? Será necessária a proteção dos dados que serão armazenados (banco de dados) ou transmitidos? b. Desenvolvimento: é quando se cria um novo sistema. Nesta fase é possível considerarmos os seguintes aspectos da segurança da informação: ▫ Segurança no ambiente de desenvolvimento: o uso de controle de acesso, backup dos códigos-fonte armazenados nos servidores de versionamento, documentos, diagramas, entre outros, e a criptografia dos dados armazenados e da comunicação (desenvolvedores que trabalham em home office); ▫ Segurança da aplicação em desenvolvimento: diferentes aspectos podem ser considerados nesse ponto, como a segregação dos ambientes de desenvolvimento de teste e produção, garantia da confidencialidade e integridades dos códigos-fonte por meio de definições de permissões e o uso de software de controle de versão (CVS). c. Implantação: quando o novo sistema é configurado no ambiente de produção. Aqui, a segurança da informação deve aplicar e avaliar os mecanismos de controle de acesso; a criptografia dos dados armazenados e em trânsito; a manutenção da atualização dos softwares instalados nos servidores (quando houver) e estações de trabalho. d. Operação/manutenção do sistema: quando se analisa a utilização do sistema e as alterações necessárias para manter o atendimento aos requisitos. No tocante à segurança da informação é importante realizar Testes de Penetração (Pen Test) periódicos. O objetivo desses testes é identificar vulnerabilidades no sistema. Uma Senac São Paulo - Todos os Direitos Reservados Gestão da Segurança da Informação 10 determinada versão da linguagem de programação, API (Application Programming Interface), do banco de dados ou servidor utilizado no desenvolvimento pode ser segura hoje. Porém, amanhã ela pode estar comprometida em função da descoberta de uma vulnerabilidade. e. Eliminação/desativação: momento em que o sistema é removido do ambiente de produção. Nessa fase alguns aspectos da segurança devem ser levados em conta. Dentre eles está a definição se os dados serão migrados, arquivados ou destruídos do sistema operante. Conforme pudemos notar, para garantir um ambiente de desenvolvimento e a produção de um sistema seguro é necessário considerar um amplo conjunto de conhecimentos, controles, ferramentas e processos. Os ambientes de Tecnologia da Informação são, na maior parte, grandes, complexos e distribuídos, de modo que a aplicação da segurança no ciclo de vida no desenvolvimento de software não ocorre ou não é realizada de forma padronizada. Isso potencializa as ações dos atacantes em seus propósitos maliciosos. Logo, podemos concluir que a implementação dos aspectos de segurança é de suma importância, contudo ela não é uma tarefa trivial (HARRIS, 2013). Considerações finais Chegamos ao término desta aula, tendo apresentado as diferentes terminologias relacionadas à segurança da informação; incluindo as ameaças e os desafios para se alcançar a segurança da informação. Aprendemos que as vulnerabilidades dos sistemas têm aumentado consideravelmente e têm sido exploradas por diferentes ataques. Por isso, implementar os mecanismos de segurança no ambiente e no desenvolvimento de um sistema deixa de ser um requisito não funcional, mas algo imprescindível. Quando negligenciados, isso pode incorrer em sérios prejuízos para uma organização no tocante à produtividade, competitividade e continuidade dos negócios. Referências ARMSTRONG, Peter. Brasil na rota de crimes cibernéticos. 2015. Disponível em: <http://www. cnseg.org.br/fenseg/servicos-apoio/noticias/brasil-na-rota-de-crimes-ciberneticos.html>. Acesso em: 20 out. 2015. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. Rio de Janiro: ABNT, 2005. CERT.br. Cartilha de Segurança para Internet. 2015. Disponível em: <http://cartilha.cert.br/>. Acesso em: 22 nov. 2015. Senac São Paulo - Todos os Direitos Reservados Gestão da Segurança da Informação 11 FOROUZAN, Behrouz. Data communications and networking. 5. ed. New York: McGraw-Hill, 2012. GNANASUNDARAM, Somasundaram; SHRIVASTAVA, Alok. Information Storage and Management: Storing, Managing, and ProtectingDigital Information in Classic, Virtualized, and Cloud Environments. 2. ed. [s. L.]: John Wiley & Sons, 2012. 428 p. HARRIS, Shon. CISSP All-in-One Exam Guide. 6. ed. New York: McGraw-Hill Osborne Media, 2013. ISO. ISO/IEC TR 18044: 2004. Information technology. Security techniques. Information security incident management. 2004. Disponível em: <http://www.iso.org/iso/catalogue_detail. htm?csnumber=35396>. Acesso em: 30 nov. 2015. KIM, David; SOLOMON, Michel. Fundamentos de segurança de sistemas de informação. São Paulo: LTC, 2014. MITRE. Current CVSS Score Distribution For All Vulnerabilities. 2015. Disponível em: <http:// www.cvedetails.com>. Acesso em: 23 nov. 2015. PELTIER, Thomas. Information Security Risk Analysis. 3. ed. Boca Raton: CRC press, 2010. PRESSMAN, Roger. Engenharia de software: uma abordagem profissional. 7. ed. Porto Alegre: AMGH, 2011. 780p. SÊMOLA, Marcos. Gestão da segurança da informação. Rio de Janeiro: Campus, 2014. SOMMERVILLE, Ian. Engenharia de software. 9. ed. São Paulo: Pearson Education, 2011. STALLINGS, Willian. Criptografia e segurança de redes: princípios e práticas. 4. ed. São Paulo: Pearson, 2008. STAMP, Mark. Information security: principles and practice. 2. ed. San José: Wiley, 2011. 606 p. Introdução 1 Conceitos sobre informação e segurança 2 Segurança aplicada no desenvolvimento de software Considerações finais Referências
Compartilhar