Trabalho de projecto de mestrado, Engenharia Informática (Engenharia de Software) Universidade de Lisboa, Faculdade de Ciências, 2019Nos dias de hoje, as aplicações de software desempenham um papel crítico para as organizações. À medida que as empresas dependem cada vez mais da integração destas aplicações no desempenho do seu negócio, levantam-se diversas questões relativas à segurança da informação. Empresas que nunca se preocuparam com a segurança das suas aplicações começam agora a ter de considerar os riscos que estas podem representar, uma vez que demonstrar a capacidade de proteger os dados digitais, tanto proprietários como de clientes, é cada vez mais uma necessidade para o negócio ao mesmo tempo que garante vantagem competitiva. A maior parte dos processos de negócio de hoje em dia são suportados por aplicações de software, no entanto, os investimentos que têm vindo a ser feitos assentam mais na infraestrutura, deixando a segurança ao nível aplicacional para segundo plano. Em Portugal, uma grande parte das empresas estão ainda atrasadas no que diz respeito ao desenvolvimento de software seguro e devem mudar a forma como endereçam o ciclo de vida de desenvolvimento, nomeadamente ao nível de processos, que devem agora estar alinhados com o Regulamento Geral de Proteção de Dados, e ao nível de controlos técnicos, descritos em diversas normas de segurança e também agora na Resolução de Conselho de Ministros nº41/2018 obrigatória para os serviços públicos a partir de Outubro de 2019. Esta tese propõe uma framework para endereçar o problema supracitado, na medida em que fornece diretrizes para que as organizações alterem a forma como desenvolvem software, integrando a segurança nas suas aplicações, em todas as fases do seu ciclo de vida. A partir do trabalho desenvolvido, é possível que uma organização adapte os seus processos, métodos e ferramentas, para que os conceitos Security by Design e Privacy by Design passem a fazer parte as metodologias de desenvolvimento, e desta forma as organizações consigam obter um maior nível de segurança nas suas aplicações. A framework proposta consiste num processo de desenvolvimento de um sistema de software, e uma metodologia de segurança a ser integrada nos processos de desenvolvimento. O resultado final do trabalho pode ser visto como uma solução particular de uma metodologia de segurança, com o seu próprio conjunto de funcionalidades benéficas. A metodologia proposta fornece diretrizes sobre quais as medidas de segurança que devem ser consideradas, sem que sejam sobrecarregados os processos de desenvolvimento utilizados. Em complemento, a metodologia proposta promove a utilização de repositórios de informação de segurança, relacionando soluções, ameaças, vulnerabilidades e políticas de segurança e encorajando a incorporação das melhores práticas nos processos de desenvolvimento.Nowadays, software applications play a critical role for organizations. Since companies increasingly rely on the integration of these applications to assure the performance of their business, more and more information security issues are being raised. Companies that have never cared about the security of their applications are now beginning to consider the risks they may pose, since demonstrating the ability to protect digital data, both proprietary and customer, is increasingly business need while ensuring competitive advantage. While it is known that security measures need to be taken to protect applications, it is not always so obvious how to implement them. The truth is that most business processes today are supported by software applications. However, the investments that have been made are based more on the infrastructure, leaving security at the application level to the background. In Portugal, many companies are still behind in software development and should change the way they address the software development lifecycle, particularly at the process level, which should now be in line with the General Data Protection Regulation, and at the level of technical controls, described in various safety standards and also now in Council of Ministers Resolution No. 41/2018, mandatory for public services from October 2019. This thesis proposes a framework to address the above problem, It provides guidelines for organizations to change the way they develop software by integrating security into their applications at all stages of their life cycle. From the work developed, it is possible for an organization to adapt its processes, methods and tools, so that the concepts Security by Design and Privacy by Design become part of the development methodologies, and in that way organizations can achieve a higher level of security in their applications. The proposed framework consists of a development approach for software systems, and a security methodology to be integrated into the development processes. The final result of the work can be seen as a particular solution of a security methodology, with its own set of beneficial features. The proposed methodology provides guidelines on which security measures should be considered, without overburdening the development processes used. It promotes the use of security information repositories, relating solutions, threats, vulnerabilities and security policies and encouraging the incorporation of best practices in development processes
