[pt] A dependência cada vez maior da tecnologia de informação
(TI) torna
software seguro um elemento chave para a continuidade dos
serviços de nossa
sociedade atual. Nos últimos anos, instituições públicas e
privadas aumentaram
seus investimentos em segurança da informação, mas a
quantidade de ataques
vem crescendo mais rapidamente do que a nossa capacidade
de poder enfrentálos,
colocando em risco a propriedade intelectual, a relação de
confiança de
clientes e a operação de serviços e negócios apoiados
pelos serviços de TI.
Especialistas em segurança afirmam que atualmente boa
parte dos incidentes de
segurança da informação ocorrem a partir de
vulnerabilidades encontradas no
software, componente presente em boa parte dos sistemas de
informação. Para
tornar o software fidedigno em relação à segurança, a
criação e o uso de métricas
de segurança serão fundamentais para gerenciar e entender
o impacto dos
programas de segurança nas empresas. Porém, métricas de
segurança são cobertas
de mistério e consideradas bastante difíceis de serem
implementadas. Este
trabalho pretende mostrar que hoje ainda não é possível
termos métricas
quantitativas capazes de indicar o nível de segurança que
o software em
desenvolvimento virá a ter. Necessitam-se, então, outras
práticas para assegurar
níveis de segurança a priori, ou seja, antes de se por o
software em uso. / [en] Today`s growing dependency on information technology (IT)
makes
software security a key element of IT services. In recent
years public and private
institutions raised the investment on information
security, however the number of
attacks is growing faster than our power to face them,
putting at risk intellectual
property, customer`s confidence and businesses that rely
on IT services. Experts
say that most information security incidents occur due to
the vulnerabilities that
exist in software systems in first place. Security metrics
are essential to assess
software dependability with respect to security, and also
to understand and
manage impacts of security initiatives in organizations.
However, security metrics
are shrouded in mystery and very hard to implement. This
work intends to show
that there are no adequate metrics capable of indicating
the security level that a
software will achieve. Hence, we need other practices to
assess the security of
software while developing it and before deploying it.
Identifer | oai:union.ndltd.org:puc-rio.br/oai:MAXWELL.puc-rio.br:10990 |
Date | 06 December 2007 |
Creators | CARLOS FREUD ALVES BATISTA |
Contributors | ARNDT VON STAA |
Publisher | MAXWELL |
Source Sets | PUC Rio |
Language | Portuguese |
Detected Language | Portuguese |
Type | TEXTO |
Page generated in 0.0022 seconds