Ethical Hacking - Apresentando os riscos da cyber security para executivos

693 visualizações

Publicada em

O cybercrime é o delito com maior índice de crescimento. Mais e mais criminosos estão explorando a velocidade, comodidade e anonimato da internet para cometer uma gama diversificada de atividades criminosas que não conhecem fronteiras (físicas ou virtuais).

Atualmente o número da população em relação a utilização de dispositivos móveis cresce exponencialmente, tendo a previsão de que cada ser humano irá utilizar de até 6 dispositivos conectados durante o seu dia. Isto representa um maior número de pessoas estarão cada vez mais vulneráveis e necessitam serem treinadas e capacitadas em relação ao tema para que sejam evitados prejuízos bilionários nas organizações e até mesmo roubos de informações pessoais.

Entenda como utilizar as técnicas de Ethical Hacking para justificar a necessidade de investimentos e capacitação em relação a cyber security e como apresentar os riscos identificados através de uma abordagem executiva.

Publicada em: Educação
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
693
No SlideShare
0
A partir de incorporações
0
Número de incorporações
4
Ações
Compartilhamentos
0
Downloads
19
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Ethical Hacking - Apresentando os riscos da cyber security para executivos

  1. 1. Bem-vindo ao Circuito de Palestras EXIN 2015 Conheça o novo Portfólio EXIN:
  2. 2. NOSSO TEMA DE HOJE: Ethical Hacking – Apresentando os riscos da cyber security para executivos Descrição: O cybercrime é o delito com maior índice de crescimento. Mais e mais criminosos estão explorando a velocidade, comodidade e anonimato da internet para cometer uma gama diversificada de atividades criminosas que não conhecem fronteiras (físicas ou virtuais). Atualmente o número da população em relação a utilização de dispositivos móveis cresce exponencialmente, tendo a previsão de que cada ser humano irá utilizar de até 6 dispositivos conectados durante o seu dia. Isto representa um maior número de pessoas estarão cada vez mais vulneráveis e necessitam serem treinadas e capacitadas em relação ao tema para que sejam evitados prejuízos bilionários nas organizações e até mesmo roubos de informações pessoais.
  3. 3. NOSSO TEMA DE HOJE: Ethical Hacking – Apresentando os riscos da cyber security para executivos Palestrante: Ricardo Tavares Mais de quinze anos de experiência em Tecnologia da Informação, ocupando cargos de gestão e coordenação em Governança e Segurança da Informação. Certificado como CISM (ISACA), CRISC (ISACA), CGEIT (ISACA), TOGAF CERTIFIED (TOG), GPEN E GIHC (SANS), ISMAS (EXIN). Foi responsável pela gestão e implementação de projetos de modelo de Governança, Planejamento Estratégico, Gerenciamento de Serviços, Escritório de Projetos, Prevenção à Fraude Corporativa e Segurança da Informação em empresas multinacionais e de grande porte tais como: Hewlett Packard, AT&T Latin América, TELMEX, Banco Bradesco entre outras empresas líderes no mercado nacional e internacional. É sócio-diretor da DARYUS Consultoria e DARYUS ITSM sendo líder de CyberSecurity e Arquitetura Corporativa.
  4. 4. Ethical Hacking – Apresentando os riscos da cyber security para executivos • Realização: DARYUS e EXIN • Sobre a DARYUS – Grupo líder na capacitação e consultoria em Gestão de Riscos, Segurança da Informação e Cibernética e Continuidade de Negócios, atendendo mais de três mil alunos em treinamento, mais de 22 turmas formadas nos cursos de pós- graduação de Segurança da Informação e Perícia Forense. – 1º empresa a estruturar, iniciar e credenciar pós-graduações junto ao EXIN de Cyber Security e Gestão de Serviços de TI com base nas certificações reconhecidas internacionalmente.
  5. 5. Ethical Hacking – Apresentando os riscos da cyber security para executivos Cyber Security Cenário Global
  6. 6. Global Risk Landscape 2015 (World Economic Forum)
  7. 7. Internet das Coisas (IoT)
  8. 8. Internet das Coisas (IoT) Cyber Crime As A Service Ascenção dos serviços de hacking
  9. 9. Internet das Coisas (IoT) 54% dos 200 milhões de habitantes no País possuem acesso à internet Maturidade em Segurança Cibernética é baixa Segundo maior gerador de cibercrimes no mundo Primeira posição na América Latina e Caribe (Fonte e Alvo) Perde US$ 8 bilhões por ano com fraudes digitais 95% das perdas dos bancos do Brasil vem do cibercrime (fonte: FEBRABAN) Cibercriminosos brasileiros não agem com discrição e anonimato
  10. 10. Incidentes Em Abril de 2014 foi estimado que 40.000 monitores de bebês estavam vulneráveis. 95% dos ATMs utilizam Windows XP. Equipamentos médicos já são invadidos No primeiro semestre de 2014 foram roubados 439 milhões de registros do setor bancário Em média 30.000 sites são invadidos por dia Mais da metade dos maiores bancos do mundo já tiveram incidentes de segurança em seus sites web.
  11. 11. Incidentes Os custos de incidentes de segurança aumentaram em 24%. Empresas reportando perdas de $10 milhões a $19.9 milhões aumentou em 24%. Um único grupo hacker foi capaz de roubar $1 bilhão de 30 bancos espalhados pelo mundo. A violação JPMorgan Chase & Co afetou cerca de 76 milhões de lares e 7 milhões de pequenas empresas Syrian Electronic Arm invadiu o site das forças armadas americana. Target, invadida em 2013 pagará $10 milhões como dano para os seus clientes.
  12. 12. Vulnerabilidades humanas 1. 123456 2. Password 3. 12345 4. 12345678 5. Qwerty 6. 123456789 7. 1234 8. Baseball 9. Dragon 10.football Piores senhas de 2014
  13. 13. Ethical Hacking
  14. 14. O que é? O objetivo do Ethical Hacking é modelar as ações de ameaças do mundo real para encontrar vulnerabilidades e de uma forma controlada explorar estas vulnerabilidades determinando o risco ao negócio e recomendando defesas apropriadas que podem ser integradas na operação da organização alvo.
  15. 15. Diferença entre Ethical Hacking, Análise de Vulnerabilidade e Auditoria Security Assessments (vulnerability assessments) Focado somente em encontrar vulnerabilidades de segurança, as quais poderão ser usadas ou não para obter ou roubar dados. Envolve o processo de olhar para falhas de segurança, mais superficial. Normalmente inclui revisões de políticas e procedimentos, que normalmente não são incluídos no penetration testing. Security Audits Testes sobre um rigoroso conjunto de padrões (medir). Muitas vezes realizado com um checklist detalhado.
  16. 16. Porque fazer o processo de Ethical Hacking Encontrar vulnerabilidades antes que os criminosos; Medir a efetividade sobre o que está implementado; Ponto de decissão sobre a necessidade de ações ou recursos (decisores darão mais atenção); Prova mais concreta do mundo real
  17. 17. Tipos de Ethical Hacking Network services test Client-side test Web application test Remote dial- up war dial test Wireless security test Social engineering test Physical security test Stolen equipament test Cryptanalysis attack
  18. 18. Fases do processo de Ethical Hacking Planejamento Reconhecimento Scanning Exploração Manter acesso Cobrir os rastros
  19. 19. Metodologias Utilizadas Open Source Security Testing Methodology Manual (OSSTMM) Nist (National Institute of Standart and Technology) Special Publication 800-115 NIST 800-53A Open Web Application Security Project (OWASP) Testing Guide Penetration Testing Framework
  20. 20. Apresentando os Resultados aos Executivos
  21. 21. O que uma apresentação executiva deve possuir • Sumário; • Findings de Riscos altos e médios; • Conclusão.
  22. 22. Sumário • Visão geral (onde, quem, quando, como); • Findings significantes com o risco e impacto resumido.
  23. 23. Findings • O que foi encontrado; • Risco; • Recomendação; • Ações que serão realizadas (se possível).
  24. 24. Findings - Qual será o foco? • Deve-se sempre demonstrar o risco para o negócio e não para a tecnologia; • Priorizar os riscos de acordo com a importância do negócio; • Abordagem baseada em processo de negócios.
  25. 25. Findings - Entender o apetite de risco da organização Impacto na marca Prejuízos financeiros Perder vantagem competitiva Segurança pessoal dos colaboradores Riscos legais
  26. 26. Findings - Como o risco se concretizou? Demonstratar de forma objetiva: • Como o risco se concretizou; • O nível de dificuldade para que se concretize; • As contramedidas atuais (sempre é bom valorizar o que já existe).
  27. 27. Fidings - O que não deve ser feito • Copiar e colar as informações/relatórios das ferramentas de análise de vulnerabilidade; • Inclusão de itens ridículos, que não demonstram um risco real; • Inclusão de intens com um risco muito baixo; • Inserir os usuários e senhas capturados no documento que será apresentado.
  28. 28. Conclusão • Maturidade do ambiente comparado com empresas do mesmo seguimento; • Quais serão os próximos passos (linha de tempo).
  29. 29. Benefícios aos participantes • Workshop Internacional de Ethical Hacking e Secure Programming com os fundadores da Security Academy; • Descontos para pós-graduações de Cyber Security e Gestão de Serviços de TI e treinamentos livres relacionados; • Desconto exclusivo de 80% para participação no maior evento de GRC – o Global Risk Meeting;
  30. 30. ACESSO AO MATERIAL • Vamos disponibilizar na próxima semana: – Link desta apresentação no YouTube e SlideShare. – Informativo sobre o Programa de Certificação – tema central da Palestra – Certificado de Participação: se precisar deste documento, envie sua solicitação para supportBR@exin.com com seu nome completo. • Por favor, responda nossa PESQUISA DE SATISFAÇÃO (pop-up ao finalizar o programa webex) e deixe suas sugestões para ajudar a aprimorar nossas futuras ações. No nosso canal do YouTube e Slide Share você tem acesso a todas as apresentações realizadas desde 2012, link será enviado por e-mail.
  31. 31. Dúvidas? Vamos iniciar a sessão de PERGUNTAS. Utilize a ferramenta do chat (para digitar). Mais Informações? Milena Andrade Regional Manager Milena.andrade@exin.com www.exin.com Ricardo Tavares Sócio-Diretor contato@daryus.com.br www.daryus.com.br

×