Nomes que iniciam com P? Clientes em torno de 20 anos? Rodrigo Otavio. Gabriel Campos. Branca Araujo. Gilberto Rosa.
Pedro Siqueira. Arthur Ferreira. Guilherme Pessoa. Vandeir Lucio Motta. Isabela Cristina. Bruno Rodrigues. Clarice Silva. Franciele Borges.
Cristiano Ribeiro. Hot galleries New hot project galleries, daily updates Enjoy daily galleries Hot galleries, thousands new daily. Enjoy daily galleries New super hot photo galleries, daily updated collections New sexy website is available on the web Daily updated super sexy photo galleries Free Porn Galleries - Hot Sex Pictures New hot project galleries, daily updates Browse over of the best porn galleries, daily updated collections Teen Girls Pussy Pics.
My new hot project Hot galleries, thousands new daily. Hot galleries Teen Girls Pussy Pics. Hot galleries Big Ass Photos - Free Huge Butt Porn, Big Booty Pics Enjoy daily galleries Hot photo galleries blogs and pictures Browse over of the best porn galleries, daily updated collections Enjoy daily galleries Hot sexy porn projects, daily updates Hot sexy porn projects, daily updates Hot photo galleries blogs and pictures Hot photo galleries blogs and pictures Hot galleries, thousands new daily.
Hot galleries Scandal porn galleries, daily updated lists New hot project galleries, daily updates enjoy new website Enjoy daily galleries Enjoy daily galleries Hot new pictures each day College Girls Porn Pics College Girls Porn Pics Enjoy our scandal amateur galleries that looks incredibly dirty Browse over of the best porn galleries, daily updated collections Big Ass Photos - Free Huge Butt Porn, Big Booty Pics New super hot photo galleries, daily updated collections Hardcore Galleries with hot Hardcore photos Sexy photo galleries, daily updated pics New hot project galleries, daily updates Teen Girls Pussy Pics.
Hot galleries New project started to be available today, check it out Daily updated super sexy photo galleries Free Porn Galleries - Hot Sex Pictures Sexy photo galleries, daily updated pics Browse over of the best porn galleries, daily updated collections Scandal porn galleries, daily updated lists New super hot photo galleries, daily updated collections Enjoy daily galleries Enjoy daily galleries Hot new pictures each day Browse over of the best porn galleries, daily updated collections New project started to be available today, check it out Hot new pictures each day Sexy photo galleries, daily updated collections Hot new pictures each day Hot teen pics Teen Girls Pussy Pics.
Muito legal o material. Obrigado por compartilhar. Isso ajuda muitas pessoas! Muito obrigado por disponibilizar essas apostilas de forma gratuita! Muito obrigado por essa gentileza! Fechar Privacy Overview This website uses cookies to improve your experience while you navigate through the website.
Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. As observaes relacionadas com esta atividade sero primeiramente apresentadas nos dados lanados com o BSIMM6, mas descrevemos a atividades nesta verso. As duas novas atividades descritas primeiramente no BSIMM4 esto sendo ativamente mapeadas durante as avaliaes. Porm, existe algum atraso nos dados para essas atividades devido nova avaliao.
Ns no daremos crditos retroativos para novas atividades em avaliaes passadas. Isto se d pelo fato de, por exemplo, [CR3. Se ns observamos uma atividade candidata que ainda no est no modelo, ns determinamos baseados em dados capturados anteriormente e em questionamentos na lista de discusso do BSIMM quantas empresas provavelmente executam esta atividade.
Se a resposta mltiplas empresas, ns observamos de perto a atividade proposta e vislumbramos como ela se encaixa no modelo existente.
Se a resposta somente uma empresa, a atividade candidata tabelada como muito especializada. Alm disso, se a atividade candidata coberta por atividades existentes ou simplesmente refina ou bifurca uma atividade existente, ela descartada. Observe quais atividades voc realmente j possui, use a cobertura de atividade para determinar os seus nveis e construa um scorecard.
No nosso trabalho usando o BSIMM para avaliar nveis, nos encontramos que o grfico em teia produzindo a abordagem do nvel mais alto baseado em trs nveis por atividade suficiente para um sentimento grosseiro para maturidade, especialmente quando trabalhando com dados geogrficos ou de um setor em particular. Uma comparao significante traar o seu nvel mais alto de maturidade contra as mdias que publicamos para observar como a sua iniciativa se organiza.
Isto pode ser realizado pela construo de um scorecard usando os dados impressos na pgina Por outro lado, a empresa no executa as atividades mais comuns observadas nas outras quatro prticas caixas vermelhas e deve gastar algum tempo para determinar se estas so necessrias ou teis para a sua iniciativa global de segurana de software.
Desde que voc tenha determinado com as suas atividades esto, voc pode criar um plano para melhorar as prticas com outras atividades sugeridas com o BSIMM. Provendo dados atuais de avaliaes de campo, o BSIMM torna possvel construir um plano de longo prazo para uma iniciativa de segurana de software e mapear o progresso com relao ao plano. Para registrar, no existe razo para adotar as atividades na integra em todos os nveis para cada prtica. Adote as atividades que fizerem sentido para sua organizao e ignore aquelas que no fazem sentido.
Escolher entre prticas no recomendado. Particularmente, no acreditamos que uma iniciativa de sucesso ser capaz de preterir todas as atividades para cada uma das doze prticas. Colocando de outra forma, os dados mostram que iniciativas altamente maduras esto redondas e executam atividades em todas as doze prticas. Em todo caso, navegando entre os objetivos e observando qual tem apelo na sua cultura um modo mais limpo de prosseguir.
No momento em que voc sabe quais so os seus objetivos, voc pode determinar quais atividades adotar. Por favor, perceba que na nossa viso colocar algumas atividades do Nvel 1 em cada prtica no lugar do que acelerar para o Nvel 3 em apenas uma prtica enquanto ignora as outras.
Esta viso esclarecida pelos dados que ns coletamos. A discriminao das atividades em nveis para cada prtica destina-se apenas como um guia. Os nveis provem uma progresso natural atravs das atividades associadas com cada prtica.
Porm, no necessrio executar todas as atividades em um nvel determinado antes de mover para atividades no nvel mais alto na mesma prtica. Isto dito, os nveis que identificamos jogaro gua no escrutnio estatstico. Atividades Nvel 1 fceis e simples so comumente observadas, Nvel 2 mais difceis e requerem mais coordenao um pouco menos e Nvel 3 topo de linha, em ingls rocket science so muito raramente observadas. Identificando objetivos e atividades para cada prtica que podem funcionar para voc e garantindo o balano apropriado com respeito aos domnios, voc pode criar um plano estratgico para a sua iniciativa em segurana de software seguir em frente.
Note que a maioria das iniciativas de segurana de software um esforo de muitos anos com oramento real, mandato e propriedade por trs delas. Embora todas as atividades paream diferentes e so personalizadas para caber em uma organizao em particular, como descrevemos, todas as iniciativas compartilham atividades em comum. Os grficos em teia que introduzimos acima so tambm teis para comparao grupos de empresas de um setor da indstria em particular ou de localizaes geogrficas.
O grfico abaixo mostra dados do setor de servios financeiros 26 empresas e fornecedores independentes de software 25 empresas. Na mdia, empresas de servios financeiros sigla em ingls FI tm maior maturidade quando comparadas com fornecedores independentes de software sigla em ingls ISV em sete das doze prticas.
Pela mesma avaliao, fornecedores independentes de software sigla em ingls ISV tem maior maturidade quando comparados com empresas de servios financeiros em cinco das doze prticas. Um olhar detalhado nas atividades revela mais diferenas interessantes. Na coluna Atividade, ns destacamos em amarelo as atividades mais comuns em cada prtica como observadas em todo conjunto de dados do BSIMM 67 empresas. Deltas largos so de interesse particular e esto destacados em azul escuro quando mais ISVs so observadas realizando a atividade e em vermelho quando mais FIs so observadas realizando a atividade.
H uma grande quantidade de sobreposies nas observaes mais comuns, com a maioria dos deltas equivalentes a seis ou menos. Na prtica de Poltica e Conformidade, no entanto, existem quatro atividades que so observadas significantemente mais frequentes nas FIs do que nas ISVs.
Elas so [CP 1. O mesmo acontece para a classificao dos dados ISVs fazem objetos para armazenas dados e FIs armazenam muitos dados , que explica o tamanho do delta em AM1. Por outro lado, ISVs tendem a confiar mais em persuaso do que em imposio quando se trata de influenciar as equipes de desenvolvimento como refletido por [SM 1. Quando comeamos a trabalhar no BSIMM, espervamos que os dados nos levassem a uma narrativa explicando o comportamento em setores particulares ou geogrficos.
No tivemos sorte. Por exemplo, embora exista uma pequena diferena visvel entre a empresa mdia de servios financeiros e o fornecedor independente de software mdio quando se trata de segurana de software, as similaridades entre os participantes altamente maduros em cada setor pesam mais do que suas diferenas em ordem de magnitude. Na mdia, o tempo entre as duas avaliaes foi de 24 meses.
Ainda que as atividades individuais entre as doze prticas vm e vo, como visto no Scorecard Longitudinal abaixo, em geral a reavaliao ao longo do tempo mostra uma tendncia clara de crescimento na maturidade na populao de vinte e uma empresas reavaliadas at agora. Iniciativas de segurana de software amadurecem ao longo do tempo.
Aqui esto dois modos de pensar sobre a mudana representada pelo scorecard longitudinal. Ns vemos as maiores chances em [T1. Existem cinco atividades adicionais recentemente observadas em sete empresas reavaliadas. Menos obvio a partir do scorecard a rotatividade entre as atividades.
Por exemplo, embora o nmero de empresas manteve-se constante para [CMVM2. Similarmente, nos tivemos novas observaes em cinco empresas para [T3. Adicionalmente, ns tivemos observaes novas em quatro empresas para [SFD 3. Utilizando o diagrama em teia, ns podemos plotar o nvel mais alto para a primeira avaliao das vinte e uma empresas contra a segunda avaliao. O estudo original incluiu nove empresas e nove avaliaes distintas.
BSIMM2 incluiu 30 empresas e 42 avaliaes distintas algumas empresas incluiriam subsidirias muito grandes que foram avaliadas independentemente.
BSIMM3 incluiu 42 empresas, onze delas foram reavaliadas, para um conjunto total de 81 avaliaes distintas. BSIMM4 incluiu 51 empresas, treze delas foram reavaliadas com uma empresa avaliada pela terceira vez , consolidando um conjunto total de 95 avaliaes distintas. BSIMM-V inclui 67 empresas, 21 das quais foram reavaliadas com 4 empresas avaliadas pela terceira vez , gerando um conjunto total de avaliaes distintas. A partir do BSIMM-V, 5 empresas representando 5 avaliaes distintas foram descartadas porque suas avaliaes eram de mais de 48 meses.
Um grupo de discusso privado e moderado com mais de membros permite aos lideres dos SSGs participantes do BSIMM discutam solues com outros que enfrentam as mesmas dificuldades, discutam estratgias com algum que j endereou uma questo, procurem mentores entre aqueles que esto mais adiante no plano de carreira e unem-se para resolver problemas complexos.
A Comunidade do BSIMM tambm hospeda uma conferncia anual privada onde at trs representantes de cada empresa se renem em um frum extraoficial para discutir iniciativas de segurana de software. Governana: Prticas que ajudam a organizar, gerenciar e avaliar a iniciativa em segurana de software.
O desenvolvimento da equipe uma prtica central de governana. Inteligncia: Prticas que resultam numa coleo de conhecimento corporativo usado para realizar as atividades de segurana de software pela organizao. As colees incluem tanto um guia de segurana proativa quanto a modelagem organizacional de ameaas.
SSDL Touchpoints: Prticas associadas anlise e garantia no desenvolvimento de artefatos particulares de software e processos. Todas as metodologias de segurana de software incluem estas prticas. Implantao: Prticas que interagem com as reas de segurana de rede tradicional e manuteno de software. A gesto de configurao de software, a manuteno e outras questes de ambiente possuem impacto direto na segurana de software.
Existem trs prticas em cada domnio. Para ilustrar o que cada prtica considera, inclumos uma explicao para cada uma delas. No domnio da governana, a prtica estratgia e mtricas engloba planejamento, atribuio de papis e responsabilidades, identificao de objetivos de segurana, definio de oramento e identificao de medidas e barreiras.
A prtica conformidade e poltica foca na identificao de controles para procedimentos de conformidade como PCI e HIPAA, desenvolvimento de controles contratuais como Acordos de Nvel de Servio para ajudar a controlar risco de software COTS, estabelecendo poltica organizacional de segurana de software e auditando o cumprimento da poltica. O treinamento sempre exerceu um papel crtico em segurana de software, pois os desenvolvedores e arquitetos quase sempre iniciam com conhecimento muito pequeno em segurana.
O domnio inteligncia serve para criar recursos para toda a organizao. Tais recursos so divididos em trs prticas. Os modelos de ataque capturam a informao para pensar como um atacante: modelagem de ameaas, desenvolvimento e refinamento de casos de abuso, classificao de dados e padres de ataque especficos por tecnologia.
A prtica funcionalidades e projeto de segurana tm a responsabilidade de criar padres de segurana teis para os principais controles de segurana atendendo aos padres definidos na prxima prtica , construindo frameworks middleware de controle e criando e publicando outras orientaes proativas de segurana. A prtica padres e requisitos envolve o levantamento explcito de requisitos de segurana pela organizao, determinando quais COTS recomendar, construindo padres para os principais controles de segurana como autenticao, validao de entrada, entre outros , criando padres de segurana para as tecnologias em uso e criando um comit de reviso de padres.
Este domnio inclui as melhores prticas essenciais de segurana de software que esto integradas ao SDLC. As duas mais importantes prticas de segurana de software so anlise arquitetural e reviso de cdigo. A anlise arquitetural engloba a amarrao da arquitetura do software em diagramas concisos, empregando listas de riscos e ameaas, adotando um processo para reviso como o STRIDE ou Anlise de Risco Arquitetural e construindo um plano de avaliao e remediao para a organizao.
A prtica testes de segurana se preocupa com testes pr-lanamento, incluindo a integrao da segurana nos padro de processos da garantia de qualidade. A prtica inclui o uso de ferramentas de segurana caixa preta incluindo o teste fuzz como um smoke test na QA, testescaixa branca orientado por riscos, aplicao de modelo de ataque e anlise da cobertura de cdigo. Os testes de segurana focam em vulnerabilidades durante a construo. Alternativamente, no domnio implantao, a prtica testes de penetrao envolve mais padres de teste de fora para dentro realizados por especialistas em segurana.
Os testes de penetrao focam em vulnerabilidades na configurao final e prov informao direta para a gesto de defeitos e mitigao. A prtica ambiente de software se preocupa com atualizaes de Sistema Operacional e plataforma, firewalls de aplicao web, documentao de instalao e configurao, monitoramento da aplicao, gesto de mudana e, por fim, assinatura de cdigo. Finalmente, a prtica gesto de configurao e gesto de vulnerabilidade se preocupa com a atualizao e correo de aplicaes, controle de verso, rastreamento e remediao de defeitos e tratamento de incidentes.
Caso necessite ajuda no entendimento sobre como as atividades bsicas esto organizadas, observe o esqueleto do BSIMM. A caracterizao e venda das metas de negcio da iniciativa faz parte para tornar a iniciativa de segurana de software um sucesso.
A partir de uma perspectiva top-down, a abordagem baseada em metas inclui a identificao de metas no mbito da iniciativa e de domnio, bem como as metas e objetivos para as prticas, nveis e atividades. Decises de gesto dos riscos informados; A clareza sobre o que a coisa certa a fazer para todos os envolvidos na segurana de software; Reduo de custos atravs de padres e processos repetveis; Melhoria da qualidade do cdigo.
No SSF, existem trs prticas em cada domnio. Assim como os domnios, cada prtica possui uma meta de alto nvel. Pelo entendimento destas metas, voc pode ter uma viso geral porque a adoo de alguns aspectos de todas as prticas faz sentido. Neste nvel voc pode comear a pensar sobre quais metas so mais importantes para sua organizao e sua cultura.
Recursos e Projeto de Segurana Padres reutilizveis, Orientaes normativas para todos os stakeholders. Cada um dos quatro domnios no SSF possui suas prprias metas. Entendendo tais metas, pode-se facilmente observar porque adotar alguns aspectos de todos os quatro domnios faz sentido.
Certamente, ignorar um domnio por completo seria insensato. A gerncia executiva deve esclarecer as expectativas organizacionais para o SSDL de forma que todos compreendam a importncia da iniciativa. Adicionalmente, a gerncia executiva deve estabelecer objetivos especficos para todos os stakeholders do SSDL e garantir que os indivduos so responsabilizados por alcanar tais objetivos.
SM Nvel 1: Alcanar um entendimento comum de direo e de estratgia. Os gerentes devem garantir que todos os envolvidos na criao, implantao, operao e manuteno de software compreendam os objetivos formalizados de segurana de software da organizao. Os lderes devem tambm assegurar que a organizao como um todo compreenda a estratgia para atingir esses objetivos. Uma compreenso estratgica comum essencial para a execuo eficaz e eficiente do programa.
Publique o processo papis, reponsabilidades, plano , o evolua quando necessrio. O processo que enderea a segurana de software divulgado a todos participantes, de forma que todos conheam o plano. Metas, papis, reponsabilidades e atividades so explicitamente definidas. Um processo SSDL evolui medida que a organizao amadurece e o panorama da segurana se altera. Crie o papel de evangelistas e faa propaganda interna.
A fim de desenvolver apoio para segurana de software por toda organizao, o SSG assume um papel evangelizador. Tal funo de marketing interno ajuda a manter a organizao ciente da magnitude do problema da segurana de software e os elementos de sua soluo.
O SSG pode realizar palestras internas, estender convites para palestrantes externos, desenvolver artigos para consumo interno ou criar uma coleo de artigos, livros e outros recursos em um website interno e promover o seu uso.
Um exemplo cannico do que um evangelizador o papel do Michael Howard na Microsoft. Eduque os executivos. Os executivos aprendem sobre as consequncias da segurana de software inadequada e o impacto negativo para o negcio que pode ter uma segurana pobre. Eles aprendem tambm acerca do trabalho realizado por outras organizaes para obter segurana de software.
Pelo entendimento tanto do problema quanto da soluo, os executivos passam a apoiar a iniciativa em segurana de software como uma necessidade da gesto de risco. Na forma mais perigosa, pode-se mostrar o lado negativo por ao de hackers ou incidentes de exposio pblica de dados. Preferencialmente, o SSG pode demonstrar o cenrio mais negativo em ambiente controlado com a permisso de todos os envolvidos mostrando realmente exploraes funcionando e o seu impacto no negcio.
Em alguns casos, a apresentao para a alta administrao pode ajudar a angariar recursos para uma iniciativa de segurana de software contnua. Trazer um guru externo sempre til quando se pretende reforar a ateno dos executivos. Identifique pontos de barreiras, rena os artefatos necessrios. Os primeiros dois passos para estabelecer as barreiras para liberao so: 1 identificar a localizao das barreiras que so compatveis com o processo de desenvolvimento existente e 2 comear a reunio das entradas necessrias para tomar a deciso de ir ou no ir.
Importante neste estgio que as barreiras no sejam impostas. Por exemplo, o SSG pode coletar os resultados dos testes de segurana para cada projeto antes do lanamento, mas no fazem um julgamento rpido do que constitui quantidade de teste suficiente ou resultados aceitveis para os testes. A ideia de identificar inicialmente as barreiras e s exigi-las depois extremamente til na movimentao do desenvolvimento em direo a segurana de software sem maiores dores.
Socializar as barreiras e somente habilit-las quando os projetos j souberem como proceder. Esta abordagem gradual serve para motivar um bom comportamento sem requer-lo. Exija a autorizao da segurana: A organizao tem um processo amplo de iniciativa para aceitao de riscos de segurana e documentar responsabilizao.
O aceitante do risco assina sobre o estado de todo o software antes de seu lanamento. Por exemplo, a poltica de aceitao pode requerer que o chefe da unidade de negcio aceite vulnerabilidades crticas que no foram mitigadas ou os passos do SSDL que foram pulados. Aceitao informal dos riscos somente no conta como uma aceitao de segurana, como o ato de aceitar o risco mais eficaz quando formalizado exemplo, com uma assinatura formal, submisso de formulrios, ou similares e armazenado para referncia futura.
SM Nvel 2: Alinhe comportamento e estratgia e verifique a aderncia. Os gestores devem identificar explicitamente os indivduos responsveis pela gesto de risco de segurana de software. Estes indivduos so, por consequncia, responsveis pelo desempenho das atividades do SSDL. Para reduzir o risco inaceitvel, os gestores devem identificar e encorajar o crescimento de satlite de segurana de software Veja na seo Papis acima. Publique dados sobre segurana de software internamente.
O SSG publica internamente dados sobre o estado de seguranado software dentro da organizao. A informao pode vir como um dashboard com mtricas para executivos e gestores do desenvolvimento de software. Algumas vezes a publicao no dividida com todos na empresas, mas somente com os executivos relevantes.
Publicar informao para os executivos que fazem algo sobre isso e promovem mudanas o suficiente. Em outros casos, gesto aberta e a publicao dos dados para todos os stakeholders ajudam a todos conhecerem o que est acontecendo, com a filosofia de que a luz o melhor antissptico.
Se a cultura da organizao promove a concorrncia interna entre os grupos, esta informao adiciona uma dimenso de segurana para o jogo. Imponha barreiras com avaliao e rastreie as excees. Barreiras agora so obrigatrias: para avanar uma barreira, um projeto deve satisfazer uma medida estabelecida ou obter uma dispensa. Mesmo as equipes de projetos teimosas devem agora atuar em conjunto. O SSG monitora as excees.
Uma barreira pode exigir que um projeto se submeta a reviso de cdigo e corrigir quaisquer questes crticas antes do seu lanamento. Em alguns casos, as barreiras so diretamente associadas com controles requeridos por regulao, acordos comerciais e outras obrigaes comerciais e excees so mapeadas como requisitos regulatrios ou regulamentares. Em outros casos, as barreiras avaliam o rendimento de indicadores chave de performance que so utilizadas para governar os processos.
Crie ou aumente os satlites. O satlite comea como um conjunto de pessoas pela organizao que demonstram um nvel de interesse ou habilidade em segurana acima da mdia.
Identificar este grupo um passo para a criao de uma rede social que acelera a adoo de segurana no desenvolvimento de software. Uma maneira de comear monitorar as pessoas que se destacam nos treinamentos.
Outra forma procurar por voluntrios. A continuidade da adeso precisa ser baseada na performance atual. Satlite forte um bom sinal de uma iniciativa madura de software seguro.
Identifique mtricas e use-as para orientar os oramentos. O SSG e sua gesto escolhem mtricas que definem e avaliam o progresso da iniciativa de segurana de software. Estas mtricas vo orientar o oramento da iniciativa e a alocao de recursos, ento estatsticas de contagem simples no so suficientes.
Mtricas tambm permitem ao SSG explicar suas metas e seu progresso em termos quantitativos. Uma mtrica pode ser a densidade dos defeitos de segurana. A reduo da densidade de defeitos de segurana pode ser usada para mostrar um custo decrescente de remediao ao longo do tempo. A chave aqui amarrar resultados tcnicos com objetivos de negcio de um modo claro e bvio para justificar o financiamento. Uma vez que o conceito de segurana j tnue para o pessoal de negcio, torn-lo explicitamente amarrado pode ser muito til.
SM Nvel 3: Pratique gesto de portflio baseada em risco. Os responsveis pelas aplicaes e o SSG devem informar aos gestores sobre o risco associado a cada aplicao no portflio.
O SSG deve anunciar as suas atividades externamente para criar apoio para a sua abordagem e habilitar a segurana no ecossistema. Use rastreamento interno de aplicaes com viso do portflio. O SSG usa mapeamento centralizado de aplicaes para traar o progresso de cada ao relacionada a software sob sua alada. A aplicao registra as atividades de segurana agendadas, em andamento e concludas. Ele incorpora os resultados de atividades como anlise arquitetural, reviso de cdigo e testes de segurana.
O SSG usa o mapeamento de aplicaes para gerar relatrios de portflio para muitas das mtricas usadas. Um inventrio combinado e uma postura de viso de riscos so fundamentais.
Em muitos casos, estes dados so publicados pelo menos entre os executivos. Dependendo da cultura, estes podem causar efeitos interessantes na competio interna. Assim que uma iniciativa amadurece e as atividades se tornam mais distribudas, o SSG usa o sistema de relatrios centralizados para manter o rastreamento de todas as partes mveis. Execute um programa de marketing externo. O SSG promove a iniciativa de segurana de software fora da empresa para construir apoio externo.
A segurana de software cresce alm do exerccio de reduo de riscos e se torna uma vantagem competitiva ou um diferencial de mercado. O SSG pode escrever artigos ou livros.
Ele pode ter um blog pblico. Membros podem dar palestras em conferncias ou feiras. Em alguns casos, uma metodologia SSDL completa pode ser publicada e promovida externamente. Dividir detalhes externamente e convidar crticos pode trazer novas perspectivas para a empresa. A orientao normativa aprovada pela gesto deve estar disponvel para todas as partes interessadas do SSDL, incluindo fornecedores, para uso no atendimento de objetivos de segurana e conformidade.
Todas as atividades do SSDL devem produzir artefatos suficientes para permitir a auditoria quanto aderncia s orientaes normativas. CP Nvel 1: Documente e unifique os direcionadores de conformidade estatutria, regulatria e contratual. O SSG deve trabalhar com grupos apropriados para captar os requisitos de conformidade de forma unificada numa orientao normativa e tornar tal conhecimento disponvel aos stakeholders no SSDL.
Unifique as presses regulatrias. Em alguns casos, o SSG cria uma abordagem unificada, que remove a redundncia da sobreposio de requisitos de conformidade. Uma abordagem formal ir mapear sees aplicveis dos regulamentos para controlar as explicaes de como a organizao ir cumpri-los. Como uma alternativa, processos de negcio existentes guiados por riscos legais ou de outras naturezas e por grupos de conformidade externos, o SSG pode tambm atuar como ponto focal. A meta dessa atividade criar um conjunto de orientaes de segurana de software e assim o trabalho de conformidade completado o mais eficientemente possvel principalmente pela remoo dos pontos duplicados.
Algumas empresas seguem para guiar a orientao se tornando diretamente envolvidas nos grupos de padronizao a fim de influenciar o ambiente regulatrio. Identifique as obrigaes PII. A maneira como o software manipula informaes de identificao pessoal sigla em ingls PII pode ser expressamente regulada, mas mesmo que no seja a privacidade muito relevante. Essas informaes so insumo para promover as melhores prticas de privacidade.
Por exemplo, se a organizao processar transaes com cartes de crdito, o SSG identificar as restries impostas pelo PCI DSS no manuseio dos dados dos titulares dos cartes.
Note que a terceirizao para ambientes de hospedagem exemplo, na nuvem no relaxa a maioria das obrigaes PII. Note tambm, empresas que criam produtos de software que processem PII mas no necessariamente manejem dados PII diretamente devem prover controle de privacidade e orientao para seus clientes.
Crie uma poltica. O SSG orienta o resto da organizao, criando ou contribuindo para a poltica de segurana de software que satisfaa os requisitos de regulao e requisitos de segurana voltados para o cliente. A poltica prov uma abordagem unificada para a satisfao da lista potencialmente longas da regulao de segurana no nvel de governana. Como resultado, as equipes de projeto se desobrigam a aprender os detalhes de toda regulao aplicvel.
0コメント