Em aderência ao arcabouço SAMM da OWASP, cada uma das práti...

Próximas questões
Com base no mesmo assunto
Q589379
Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos , Segurança de sistemas de informação ,
Ano: 2015 Banca: CESPE / CEBRASPE Órgão: MEC Prova: CESPE - 2015 - MEC - Analista de Segurança |
Q589379 Segurança da Informação
Considere que o capítulo sobre segurança de aplicações contenha proposta de adoção de uma metodologia de desenvolvimento de aplicações com segurança fundamentalmente embasada na metodologia OWASP (open web application security project), envolvendo uma proposta de processo de desenvolvimento de aplicações aderente ao arcabouço software assurance maturity model da OWASP, conhecido como SAMM ou OpenSAMM, em combinação com aspectos técnicos como arquiteturas seguras para aplicações web, análise de vulnerabilidades, testes de invasão, gestão de patches e ataques. Nesse contexto, julgue o item seguinte.
Em aderência ao arcabouço SAMM da OWASP, cada uma das práticas de segurança no desenvolvimento de software a serem desenvolvidas no ministério deve ser avaliada quanto à capacidade, em uma escala que varia de 0 a 5, e que são 0 – Incompleto; 1 – Executado; 2 – Gerenciado; 3 – Definido; 4 – Quantitativamente gerenciado; 5 – Otimizante.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Alternativa correta: E - errado

Vamos analisar o contexto da questão para entender melhor. O enunciado menciona a adoção de uma metodologia de desenvolvimento de aplicações com segurança embasada na metodologia OWASP (Open Web Application Security Project), mais especificamente no arcabouço SAMM (Software Assurance Maturity Model), também conhecido como OpenSAMM.

O SAMM é um modelo utilizado para avaliar e melhorar a maturidade das práticas de segurança no desenvolvimento de software. É importante destacar que o modelo SAMM original propõe uma escala de maturidade que varia de 0 a 3, e não de 0 a 5 como mencionado na questão.

Essa escala é composta pelos seguintes níveis:

  • 0 - Incompleto: A prática está ausente ou incompleta.
  • 1 - Inicial: A prática está presente de forma ad-hoc e não formalizada.
  • 2 - Definido: A prática está definida, documentada e implementada consistentemente.
  • 3 - Gerenciado: A prática é gerenciada e monitorada e há melhorias contínuas com base nos dados obtidos.

No entanto, a questão descreve uma escala que vai de 0 a 5, com os seguintes níveis:

  • 0 – Incompleto
  • 1 – Executado
  • 2 – Gerenciado
  • 3 – Definido
  • 4 – Quantitativamente gerenciado
  • 5 – Otimizante

Essa descrição não corresponde ao modelo SAMM original da OWASP, que limita a escala a 0-3. Portanto, a alternativa está ERRADA ao sugerir que a escala vai até 5.

Ao entender essa discrepância, fica claro que a questão exige conhecimento específico sobre o modelo SAMM da OWASP e sua correta aplicação. É crucial para o aluno de concursos públicos saber as especificidades dos modelos de maturidade em segurança, como o SAMM, para evitar erros em questões como essa.

Se precisar de mais esclarecimentos sobre o modelo SAMM ou outros aspectos de segurança da informação, estarei à disposição para ajudar!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Maturity Levels

Each of the twelve Security Practices has three defined Maturity Levels and an implicit starting point at zero. The details for each level differs between the Practices, but they generally represent:

0 Implicit starting point representing the activities in the Practice being unfulfilled

1 Initial understanding and ad hoc provision of Security Practice

2 Increase efficiency and/or effectiveness of the Security Practice

3 Comprehensive mastery of the Security Practice at scale

 

https://www.owasp.org/images/e/ec/SAMM_Core_V1-1-Final-1page.pdf

 

Gabarito: E

Software Assurance Maturity Model (SAMM)
– Cada prática possui 3 objetivos que especificam como podem ser melhorados
– Estabelece a noção de níveis de práticas a serem alcançadas
– Os três níveis de cada prática geralmente correspondem a:
• 0: Ponto de partida implícito, sem prática implementada
• 1: Entendimento inicial da Prática e implementação ad hoc
• 2: Aumento da eficiência e/ou efetividade da Prática
• 3: Domínio completo da Prática em escala

FONTE: https://goo.gl/XchIkh

O SAMM permite que as organizações avaliem seu nível atual de maturidade em segurança e definam um roteiro para melhorias. Os níveis são:

  • Nível 0 - Inativo: Práticas mínimas ou inexistentes.
  • Nível 1 - Inicial: Práticas ad-hoc sem documentação formal.
  • Nível 2 - Definido: Práticas documentadas e consistentes.
  • Nível 3 – Gerenciado ou Otimizado: Práticas continuamente melhoradas com métricas claras.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas