Implementar e gerenciar processos de engenharia usando princípios de design seguro - manequins

É uma tendência humana natural para construir coisas sem antes considerar suas implicações de design ou segurança. Um engenheiro de rede que está construindo uma nova rede só pode começar a conectar cabos em roteadores e switches sem primeiro pensar sobre o design geral - muito menos quaisquer considerações de segurança. Da mesma forma, um engenheiro de software designado para escrever um novo programa é apto a começar a codificar sem planejar o projeto do programa.

Se você observar o mundo exterior e os produtos de consumo que estão disponíveis, às vezes você vê falhas de segurança e de usabilidade flagrantes que fazem você se perguntar como a pessoa ou organização sempre foi autorizada a participar do seu projeto e desenvolvimento.

Os profissionais de segurança precisam ajudar as organizações a entender que os princípios de segurança por design são um componente vital do desenvolvimento de qualquer sistema.

Os processos de engenharia que exigem a inclusão de princípios de design seguros incluem:

• Desenvolvimento de conceitos. Do estágio da idéia, as considerações de segurança são vitais para o sucesso de qualquer empreendimento de engenharia de TI novo. Todo projeto e produto começa com algo - uma sessão de quadro branco, esboços em guardanapos de cocktail ou caixas de pizza ou uma chamada em conferência. No entanto, o projeto começa, alguém deve perguntar como dados, funções e componentes vitais serão protegidos nessa nova coisa. Não estamos procurando respostas detalhadas, mas apenas confiança suficiente para sabermos que não somos o último bando de ovelhas apressando-se para o precipício mais próximo.
• Requisitos. Antes do início do projeto real, uma ou mais pessoas definirão os requisitos para o novo sistema ou recurso. Muitas vezes, existem várias categorias de requisitos. Os requisitos de segurança, privacidade e regulamentação geralmente precisam ser incluídos.
• Design. Depois que todos os requisitos foram estabelecidos e acordados, o design formal do sistema ou componente pode começar. O design deve incorporar todos os requisitos estabelecidos no passo anterior.
• Desenvolvimento. Dependendo do que está sendo construído, o desenvolvimento pode assumir várias formas, incluindo a criação de
  • Configurações do sistema e do dispositivo
  • Diagramas de armazenamento de equipamentos do centro de dados
  • Fluxos de dados para sistemas de gerenciamento e monitoramento
• Testes. Componentes individuais e todo o sistema são testados para confirmar que todos e cada um dos requisitos desenvolvidos anteriormente foram alcançados. Geralmente, alguém que não seja o construtor / desenvolvedor deve realizar testes.
• Implementação. Quando o sistema ou componente é colocado em serviço, considerações de segurança ajudam a garantir que isso não coloque o novo sistema / componente ou coisas relacionadas em risco. As atividades de implementação incluem
  • Configuração e cabeamento de dispositivos de rede
  • Instalando e configurando sistemas operacionais ou subsistemas, como sistemas de gerenciamento de banco de dados, servidores web ou aplicativos
  • Construção de instalações físicas, áreas de trabalho ou centros de dados
• Manutenção e suporte. Depois que o sistema ou a instalação é colocado em serviço, todas as alterações subsequentes precisam passar por etapas de engenharia semelhantes para garantir que os riscos de segurança novos ou em mudança sejam atenuados rapidamente.
• Desativação. Quando um sistema ou instalação atinge o fim de sua vida útil, ele deve ser desativado sem colocar dados, outros sistemas ou pessoal em risco.