Apoio à implementação, avaliação e/ou definição de requisitos de sistemas e plataformas seguras
Dependendo da missão e negócio para o qual o sistema é concebido, assim se deverá materializar o nível de robustez e profundidade nos mecanismos que proporcionam cada uma das propriedades de segurança.
Os requisitos específicos do sistema devem estar direcionados para proteger o “core” das funções do sistema.
Apesar destas aproximações “à medida”, quando estamos na presença de sistemas “críticos”, devem ser verificados um conjunto mínimo de requisitos “security-by- default“, que devem ser “obrigatoriamente” implementados pelo dono do sistema.
Nos processos de apoio à implementação, avaliação e/ou definição de requisitos de sistemas e plataformas eletrónicas seguras, para além dos requisitos específicos, incluímos sempre para verificação, vários requisitos englobados nos seguintes grupos globais:
- Gestão;
- Sistemas e Operações;
- Identificação e Autenticação;
- Controlo de acessos aos sistema;
- Gestão de chaves;
- Rastreabilidade e Auditoria;
- Arquivo;
- Backup e Recuperação;
- Requisitos de segurança das redes (em função do ambiente operacional);
- Requisitos de Segurança Física (em função do ambiente operacional).
Objetivo:
Definir e/ou avaliar os requisitos globais e específicos de segurança de sistemas e plataformas, de forma a garantir o objetivo e missão desse sistema cumpre com o estabelecido e é resiliente.
A nossa metodologia:
- Reunião inicial (presencial ou remota) para identificação dos objetivos do cliente e sistema;
- Identificação dos requisitos de negócio, requisitos funcionais e requisitos de sistema;
- Definição dos requisitos específicos e detalhes sobre o desempenho, segurança e disponibilidade.
- Sessões de braimstorming com o cliente;
- Entrega das especificações e requisitos (para caderno de encargos, se aplicável);
- Acompanhamento (se aplicável).