SlideShare uma empresa Scribd logo

"Segurança na web: uma janela de oportunidades" por Lucas Ferreira

SegInfo
SegInfo
Tecnologia
1 de 15
Baixar para ler offline
Segurança na Web: Uma janela de oportunidades Lucas C. Ferreira Câmara dos Deputados OWASP GCC Member OWASP Líder do Capítulo de Brasília lucas.ferreira@owasp.org Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org Monday, August 8, 11
Agenda OWASP - apresentação O manifesto e seus objetivos O que pode ser feito? Por legisladores Por órgãos de defesa do consumidor Por órgãos de controle Por instituto de ensino e pesquisa Por todas os órgãos de governo OWASP 2 Monday, August 8, 11
OWASP Open Web Application Security Project Comunidade aberta Segurança de aplicações Voluntários 8 capítulos no Brasil Materiais disponíveis Sistemas Documentos Apresentações Conferências AppSec OWASP 3 Monday, August 8, 11
O Manifesto e seus Objetivos O manifesto Baseado em conversas e idéias de vários especialistas Objetivos Sugerir ações de governo para melhorar a segurança na web Usar o poder de compra do estado para influir positivamente Proteger os consumidores Permitir a inovação e a criação de negócios na área OWASP 4 Monday, August 8, 11
O que pode ser feito? Por legisladores Permitir e incentivar pesquisas sobre ataques cibernéticos Punir criminosos sem criminalizar atividades legítimas e benéficas Focar na intenção Requerer a publicação de avaliações de segurança Permitir amplo acesso a informações sobre vulnerabilidades Criar agência para tratar os aspectos de divulgação de falhas de segurança garantir uma postura ética e responsável de todas as partes Exigir requisitos de segurança em contratos governamentais OWASP 5 Monday, August 8, 11
O que pode ser feito? Por legisladores Responsabilizar organizações que não tratem com diligência os aspectos de segurança de aplicações Organizações são responsáveis por sistemas que vendem e usam Fornecedores co-responsáveis nos moldes do CDC Exigir que o governo tenha acesso às atualizações de segurança durante toda a vida útil do software Aplicar patches é o mínimo em termos de segurança Exigir a abertura do código após o termino da vida útil Softwares usados pelo governo Apenas para o desenvolvimento de patches Eliminar necessidade de compra de novas versões OWASP 6 Monday, August 8, 11
O que pode ser feito? Por legisladores Eliminar as licenças de software que isentam os fabricantes da responsabilidade com a segurança de seus produtos Responsabilidade igual aos fabricantes de qualquer produto (CDC) Limitada ao valor pago OWASP 7 Monday, August 8, 11
O que pode ser feito? Por órgãos de defesa do consumidor Restringir o uso de licenças de abusivas Exigir a divulgação de informações inteligíveis Nos moldes dos eletro-eletrônicos, carros, etc Atendimento ao art. 31 do CDC Necessidade de pesquisas na área Exigir nível adequado de segurança de sistemas que afetem a privacidade dos consumidores ou cidadãos Proteger os dados Avisar em caso de vazamento OWASP 8 Monday, August 8, 11
O que pode ser feito? Por órgãos de defesa do consumidor Definir que os consumidores devem ser informados dos possíveis usos dos dados inseridos em sistemas ou sites Consumidor deve aprovar os usos previstos Comunicar alterações de políticas Estabelecer campanhas de conscientização de segurança para os consumidores OWASP 9 Monday, August 8, 11
O que pode ser feito? Por órgãos de controle Definir claramente as responsabilidades com relação à segurança de aplicações Verificar e auditar que práticas adequadas de segurança são adotadas Inserir os aspectos de segurança de aplicações em seus regulamentos e/ou recomendações setoriais Facilitar a criação de um mercado de seguros Tendência a aumentar a segurança para diminuir os custos com seguros Requerer o uso de conexões criptografadas (SSL) para aplicações web OWASP 10 Monday, August 8, 11
O que pode ser feito? Por órgãos de ensino e pesquisa Inclusão das boas práticas de segurança de aplicações no conteúdo dos cursos Em todos os níveis de ensino Definição de cursos avançados para formação de mão- de-obra Fomentar e financiar pesquisas sobre segurança de aplicações Em universidades e empresas Promover a formação de profissionais capazes de atuar com ética e responsabilidade OWASP 11 Monday, August 8, 11
O que pode ser feito? Por todos os órgãos públicos Financiar validações e segurança para sistemas de código aberto Produzir avaliações e correções de segurança para a sociedade Promover o uso de tecnologias e metodologias de segurança de aplicações Internamente e por fornecedores Promover e permitir testes de segurança de forma responsável mas aberta Permitir acesso aos pesquisadores éticos Procedimentos definidos Promover treinamento e conscientização dos gestores para os desafios da segurança na web OWASP 12 Monday, August 8, 11
Vantagens para o país Área em crescimento em todo o mundo Desenvolvimento tecnológico Desenvolvimento de mão-de-obra altamente capacitada Crescimento de áreas afins e-commerce e-gov Atração de investimentos Criação de negócios e empresas OWASP 13 Monday, August 8, 11
AppSec Latam 2011 4 a 7 de outubro de 2011 www.appseclatam.org @AppSecLatam OWASP 14 Monday, August 8, 11
Segurança na Web: Uma janela de oportunidades Lucas C. Ferreira Câmara dos Deputados OWASP GCC Member OWASP Líder do Capítulo de Brasília lucas.ferreira@owasp.org Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org Monday, August 8, 11

Recomendados

Owasp top 10_2013_pt-br
Owasp top 10_2013_pt-brOwasp top 10_2013_pt-br
Owasp top 10_2013_pt-brSérgio FePro
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BRMagno Logan
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
WebGoat Project
WebGoat ProjectWebGoat Project
WebGoat ProjectDécio Castaldi, MBA/FIAP
 
Seguranca da Informaçao - Security Information
Seguranca da Informaçao - Security InformationSeguranca da Informaçao - Security Information
Seguranca da Informaçao - Security InformationDenilson Barbosa ®
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalCarlos Serrao
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDércio Luiz Reis
 
Rede Sociais: Usando a Ferramenta Para o Seu Proveito
Rede Sociais: Usando a Ferramenta Para o Seu ProveitoRede Sociais: Usando a Ferramenta Para o Seu Proveito
Rede Sociais: Usando a Ferramenta Para o Seu ProveitoJunior Abreu
 

Recomendados

Owasp top 10_2013_pt-br
Owasp top 10_2013_pt-brOwasp top 10_2013_pt-br
Owasp top 10_2013_pt-brSérgio FePro
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BRMagno Logan
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
WebGoat Project
WebGoat ProjectWebGoat Project
WebGoat ProjectDécio Castaldi, MBA/FIAP
 
Seguranca da Informaçao - Security Information
Seguranca da Informaçao - Security InformationSeguranca da Informaçao - Security Information
Seguranca da Informaçao - Security InformationDenilson Barbosa ®
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalCarlos Serrao
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDércio Luiz Reis
 
Rede Sociais: Usando a Ferramenta Para o Seu Proveito
Rede Sociais: Usando a Ferramenta Para o Seu ProveitoRede Sociais: Usando a Ferramenta Para o Seu Proveito
Rede Sociais: Usando a Ferramenta Para o Seu ProveitoJunior Abreu
 
Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Luiz Sales Rabelo
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano MirandaSegInfo
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por SegInfo
 
Oficina Integradora - Daryus Impacta
Oficina Integradora - Daryus ImpactaOficina Integradora - Daryus Impacta
Oficina Integradora - Daryus ImpactaLuiz Sales Rabelo
 
Processo investigativo - Faculdader Impacta
Processo investigativo - Faculdader ImpactaProcesso investigativo - Faculdader Impacta
Processo investigativo - Faculdader ImpactaLuiz Sales Rabelo
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013SegInfo
 
CNASI 2011
CNASI 2011CNASI 2011
CNASI 2011Luiz Sales Rabelo
 
Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012Luiz Sales Rabelo
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...Rodrigo Immaginario
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 
Artigo renato goncalves da silva - 13 seg
Artigo renato goncalves da silva - 13 segArtigo renato goncalves da silva - 13 seg
Artigo renato goncalves da silva - 13 segrenatogonca
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
Mobile App Security Test
Mobile App Security TestMobile App Security Test
Mobile App Security TestKleitor Franklint Correa Araujo
 
Como obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geraçãoComo obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geraçãoCisco do Brasil
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP Brasília
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 

Mais conteúdo relacionado

Destaque

"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano MirandaSegInfo
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por SegInfo
 
Oficina Integradora - Daryus Impacta
Oficina Integradora - Daryus ImpactaOficina Integradora - Daryus Impacta
Oficina Integradora - Daryus ImpactaLuiz Sales Rabelo
 
Processo investigativo - Faculdader Impacta
Processo investigativo - Faculdader ImpactaProcesso investigativo - Faculdader Impacta
Processo investigativo - Faculdader ImpactaLuiz Sales Rabelo
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013SegInfo
 

Destaque (8)

Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
 
Oficina Integradora - Daryus Impacta
Oficina Integradora - Daryus ImpactaOficina Integradora - Daryus Impacta
Oficina Integradora - Daryus Impacta
 
Processo investigativo - Faculdader Impacta
Processo investigativo - Faculdader ImpactaProcesso investigativo - Faculdader Impacta
Processo investigativo - Faculdader Impacta
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013
 
CNASI 2011
CNASI 2011CNASI 2011
CNASI 2011
 
Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012
 

Semelhante a "Segurança na web: uma janela de oportunidades" por Lucas Ferreira

Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...Rodrigo Immaginario
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 
Artigo renato goncalves da silva - 13 seg
Artigo renato goncalves da silva - 13 segArtigo renato goncalves da silva - 13 seg
Artigo renato goncalves da silva - 13 segrenatogonca
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
Como obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geraçãoComo obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geraçãoCisco do Brasil
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP Brasília
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
A proteção jurídica do programa de computador: ótica da empresa
A proteção jurídica do programa de computador: ótica da empresaA proteção jurídica do programa de computador: ótica da empresa
A proteção jurídica do programa de computador: ótica da empresaCEST
 
DevSecOps - Integrando Segurança no Processo DevOps
DevSecOps - Integrando Segurança no Processo DevOpsDevSecOps - Integrando Segurança no Processo DevOps
DevSecOps - Integrando Segurança no Processo DevOpsAlessandra Soares
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
AllViXM - Initial presentation
AllViXM - Initial presentationAllViXM - Initial presentation
AllViXM - Initial presentationMário Marroquim
 

Semelhante a "Segurança na web: uma janela de oportunidades" por Lucas Ferreira (20)

Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
 
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
 
Artigo renato goncalves da silva - 13 seg
Artigo renato goncalves da silva - 13 segArtigo renato goncalves da silva - 13 seg
Artigo renato goncalves da silva - 13 seg
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
Mobile App Security Test
Mobile App Security TestMobile App Security Test
Mobile App Security Test
 
Como obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geraçãoComo obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geração
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de Fatima
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
A proteção jurídica do programa de computador: ótica da empresa
A proteção jurídica do programa de computador: ótica da empresaA proteção jurídica do programa de computador: ótica da empresa
A proteção jurídica do programa de computador: ótica da empresa
 
DevSecOps - Integrando Segurança no Processo DevOps
DevSecOps - Integrando Segurança no Processo DevOpsDevSecOps - Integrando Segurança no Processo DevOps
DevSecOps - Integrando Segurança no Processo DevOps
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - Apresentação
 
AllViXM - Initial presentation
AllViXM - Initial presentationAllViXM - Initial presentation
AllViXM - Initial presentation
 
Abese Cartilha do Consumidor
Abese Cartilha do ConsumidorAbese Cartilha do Consumidor
Abese Cartilha do Consumidor
 

Mais de SegInfo

Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição SegInfo
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
Midiakit SegInfo 2015
Midiakit SegInfo 2015Midiakit SegInfo 2015
Midiakit SegInfo 2015SegInfo
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBSegInfo
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05SegInfo
 
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...SegInfo
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson BritoSegInfo
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de PaulaSegInfo
 
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire..."Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...SegInfo
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...SegInfo
 
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão..."Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...SegInfo
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraSegInfo
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira SegInfo
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasSegInfo
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago BordiniSegInfo
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
 
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?SegInfo
 

Mais de SegInfo (17)

Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
 
Midiakit SegInfo 2015
Midiakit SegInfo 2015Midiakit SegInfo 2015
Midiakit SegInfo 2015
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05
 
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
 
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire..."Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
 
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão..."Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan Bonagura
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
 
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
 

"Segurança na web: uma janela de oportunidades" por Lucas Ferreira

  • 1. Segurança na Web: Uma janela de oportunidades Lucas C. Ferreira Câmara dos Deputados OWASP GCC Member OWASP Líder do Capítulo de Brasília lucas.ferreira@owasp.org Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org Monday, August 8, 11
  • 2. Agenda OWASP - apresentação O manifesto e seus objetivos O que pode ser feito? Por legisladores Por órgãos de defesa do consumidor Por órgãos de controle Por instituto de ensino e pesquisa Por todas os órgãos de governo OWASP 2 Monday, August 8, 11
  • 3. OWASP Open Web Application Security Project Comunidade aberta Segurança de aplicações Voluntários 8 capítulos no Brasil Materiais disponíveis Sistemas Documentos Apresentações Conferências AppSec OWASP 3 Monday, August 8, 11
  • 4. O Manifesto e seus Objetivos O manifesto Baseado em conversas e idéias de vários especialistas Objetivos Sugerir ações de governo para melhorar a segurança na web Usar o poder de compra do estado para influir positivamente Proteger os consumidores Permitir a inovação e a criação de negócios na área OWASP 4 Monday, August 8, 11
  • 5. O que pode ser feito? Por legisladores Permitir e incentivar pesquisas sobre ataques cibernéticos Punir criminosos sem criminalizar atividades legítimas e benéficas Focar na intenção Requerer a publicação de avaliações de segurança Permitir amplo acesso a informações sobre vulnerabilidades Criar agência para tratar os aspectos de divulgação de falhas de segurança garantir uma postura ética e responsável de todas as partes Exigir requisitos de segurança em contratos governamentais OWASP 5 Monday, August 8, 11
  • 6. O que pode ser feito? Por legisladores Responsabilizar organizações que não tratem com diligência os aspectos de segurança de aplicações Organizações são responsáveis por sistemas que vendem e usam Fornecedores co-responsáveis nos moldes do CDC Exigir que o governo tenha acesso às atualizações de segurança durante toda a vida útil do software Aplicar patches é o mínimo em termos de segurança Exigir a abertura do código após o termino da vida útil Softwares usados pelo governo Apenas para o desenvolvimento de patches Eliminar necessidade de compra de novas versões OWASP 6 Monday, August 8, 11
  • 7. O que pode ser feito? Por legisladores Eliminar as licenças de software que isentam os fabricantes da responsabilidade com a segurança de seus produtos Responsabilidade igual aos fabricantes de qualquer produto (CDC) Limitada ao valor pago OWASP 7 Monday, August 8, 11
  • 8. O que pode ser feito? Por órgãos de defesa do consumidor Restringir o uso de licenças de abusivas Exigir a divulgação de informações inteligíveis Nos moldes dos eletro-eletrônicos, carros, etc Atendimento ao art. 31 do CDC Necessidade de pesquisas na área Exigir nível adequado de segurança de sistemas que afetem a privacidade dos consumidores ou cidadãos Proteger os dados Avisar em caso de vazamento OWASP 8 Monday, August 8, 11
  • 9. O que pode ser feito? Por órgãos de defesa do consumidor Definir que os consumidores devem ser informados dos possíveis usos dos dados inseridos em sistemas ou sites Consumidor deve aprovar os usos previstos Comunicar alterações de políticas Estabelecer campanhas de conscientização de segurança para os consumidores OWASP 9 Monday, August 8, 11
  • 10. O que pode ser feito? Por órgãos de controle Definir claramente as responsabilidades com relação à segurança de aplicações Verificar e auditar que práticas adequadas de segurança são adotadas Inserir os aspectos de segurança de aplicações em seus regulamentos e/ou recomendações setoriais Facilitar a criação de um mercado de seguros Tendência a aumentar a segurança para diminuir os custos com seguros Requerer o uso de conexões criptografadas (SSL) para aplicações web OWASP 10 Monday, August 8, 11
  • 11. O que pode ser feito? Por órgãos de ensino e pesquisa Inclusão das boas práticas de segurança de aplicações no conteúdo dos cursos Em todos os níveis de ensino Definição de cursos avançados para formação de mão- de-obra Fomentar e financiar pesquisas sobre segurança de aplicações Em universidades e empresas Promover a formação de profissionais capazes de atuar com ética e responsabilidade OWASP 11 Monday, August 8, 11
  • 12. O que pode ser feito? Por todos os órgãos públicos Financiar validações e segurança para sistemas de código aberto Produzir avaliações e correções de segurança para a sociedade Promover o uso de tecnologias e metodologias de segurança de aplicações Internamente e por fornecedores Promover e permitir testes de segurança de forma responsável mas aberta Permitir acesso aos pesquisadores éticos Procedimentos definidos Promover treinamento e conscientização dos gestores para os desafios da segurança na web OWASP 12 Monday, August 8, 11
  • 13. Vantagens para o país Área em crescimento em todo o mundo Desenvolvimento tecnológico Desenvolvimento de mão-de-obra altamente capacitada Crescimento de áreas afins e-commerce e-gov Atração de investimentos Criação de negócios e empresas OWASP 13 Monday, August 8, 11
  • 14. AppSec Latam 2011 4 a 7 de outubro de 2011 www.appseclatam.org @AppSecLatam OWASP 14 Monday, August 8, 11
  • 15. Segurança na Web: Uma janela de oportunidades Lucas C. Ferreira Câmara dos Deputados OWASP GCC Member OWASP Líder do Capítulo de Brasília lucas.ferreira@owasp.org Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org Monday, August 8, 11