Vídeo: Google Marketing Live 2019 – Palestra sobre inovações em publicidade 2024
É uma tendência humana natural para construir coisas sem antes considerar suas implicações de design ou segurança. Um engenheiro de rede que está construindo uma nova rede só pode começar a conectar cabos em roteadores e switches sem primeiro pensar sobre o design geral - muito menos quaisquer considerações de segurança. Da mesma forma, um engenheiro de software designado para escrever um novo programa é apto a começar a codificar sem planejar o projeto do programa.
Se você observar o mundo exterior e os produtos de consumo que estão disponíveis, às vezes você vê falhas de segurança e de usabilidade flagrantes que fazem você se perguntar como a pessoa ou organização sempre foi autorizada a participar do seu projeto e desenvolvimento.
Os profissionais de segurança precisam ajudar as organizações a entender que os princípios de segurança por design são um componente vital do desenvolvimento de qualquer sistema.
Os processos de engenharia que exigem a inclusão de princípios de design seguros incluem:
- Desenvolvimento de conceitos. Do estágio da idéia, as considerações de segurança são vitais para o sucesso de qualquer empreendimento de engenharia de TI novo. Todo projeto e produto começa com algo - uma sessão de quadro branco, esboços em guardanapos de cocktail ou caixas de pizza ou uma chamada em conferência. No entanto, o projeto começa, alguém deve perguntar como dados, funções e componentes vitais serão protegidos nessa nova coisa. Não estamos procurando respostas detalhadas, mas apenas confiança suficiente para sabermos que não somos o último bando de ovelhas apressando-se para o precipício mais próximo.
- Requisitos. Antes do início do projeto real, uma ou mais pessoas definirão os requisitos para o novo sistema ou recurso. Muitas vezes, existem várias categorias de requisitos. Os requisitos de segurança, privacidade e regulamentação geralmente precisam ser incluídos.
- Design. Depois que todos os requisitos foram estabelecidos e acordados, o design formal do sistema ou componente pode começar. O design deve incorporar todos os requisitos estabelecidos no passo anterior.
- Desenvolvimento. Dependendo do que está sendo construído, o desenvolvimento pode assumir várias formas, incluindo a criação de
- Configurações do sistema e do dispositivo
- Diagramas de armazenamento de equipamentos do centro de dados
- Fluxos de dados para sistemas de gerenciamento e monitoramento
- Testes. Componentes individuais e todo o sistema são testados para confirmar que todos e cada um dos requisitos desenvolvidos anteriormente foram alcançados. Geralmente, alguém que não seja o construtor / desenvolvedor deve realizar testes.
- Implementação. Quando o sistema ou componente é colocado em serviço, considerações de segurança ajudam a garantir que isso não coloque o novo sistema / componente ou coisas relacionadas em risco. As atividades de implementação incluem
- Configuração e cabeamento de dispositivos de rede
- Instalando e configurando sistemas operacionais ou subsistemas, como sistemas de gerenciamento de banco de dados, servidores web ou aplicativos
- Construção de instalações físicas, áreas de trabalho ou centros de dados
- Manutenção e suporte. Depois que o sistema ou a instalação é colocado em serviço, todas as alterações subsequentes precisam passar por etapas de engenharia semelhantes para garantir que os riscos de segurança novos ou em mudança sejam atenuados rapidamente.
- Desativação. Quando um sistema ou instalação atinge o fim de sua vida útil, ele deve ser desativado sem colocar dados, outros sistemas ou pessoal em risco.
