2. Agenda
OWASP - apresentação
O manifesto e seus objetivos
O que pode ser feito?
Por legisladores
Por órgãos de defesa do consumidor
Por órgãos de controle
Por instituto de ensino e pesquisa
Por todas os órgãos de governo
OWASP 2
Monday, August 8, 11
3. OWASP
Open Web Application Security Project
Comunidade aberta
Segurança de aplicações
Voluntários
8 capítulos no Brasil
Materiais disponíveis
Sistemas
Documentos
Apresentações
Conferências AppSec OWASP 3
Monday, August 8, 11
4. O Manifesto e seus Objetivos
O manifesto
Baseado em conversas e idéias de vários especialistas
Objetivos
Sugerir ações de governo para melhorar a segurança na
web
Usar o poder de compra do estado para influir
positivamente
Proteger os consumidores
Permitir a inovação e a criação de negócios na área
OWASP 4
Monday, August 8, 11
5. O que pode ser feito?
Por legisladores
Permitir e incentivar pesquisas sobre ataques
cibernéticos
Punir criminosos sem criminalizar atividades legítimas e benéficas
Focar na intenção
Requerer a publicação de avaliações de segurança
Permitir amplo acesso a informações sobre vulnerabilidades
Criar agência para tratar os aspectos de divulgação de
falhas de segurança
garantir uma postura ética e responsável de todas as partes
Exigir requisitos de segurança em contratos
governamentais
OWASP 5
Monday, August 8, 11
6. O que pode ser feito?
Por legisladores
Responsabilizar organizações que não tratem com
diligência os aspectos de segurança de aplicações
Organizações são responsáveis por sistemas que vendem e usam
Fornecedores co-responsáveis nos moldes do CDC
Exigir que o governo tenha acesso às atualizações de
segurança durante toda a vida útil do software
Aplicar patches é o mínimo em termos de segurança
Exigir a abertura do código após o termino da vida útil
Softwares usados pelo governo
Apenas para o desenvolvimento de patches
Eliminar necessidade de compra de novas versões
OWASP 6
Monday, August 8, 11
7. O que pode ser feito?
Por legisladores
Eliminar as licenças de software que isentam os
fabricantes da responsabilidade com a segurança de
seus produtos
Responsabilidade igual aos fabricantes de qualquer produto
(CDC)
Limitada ao valor pago
OWASP 7
Monday, August 8, 11
8. O que pode ser feito?
Por órgãos de defesa do consumidor
Restringir o uso de licenças de abusivas
Exigir a divulgação de informações inteligíveis
Nos moldes dos eletro-eletrônicos, carros, etc
Atendimento ao art. 31 do CDC
Necessidade de pesquisas na área
Exigir nível adequado de segurança de sistemas que
afetem a privacidade dos consumidores ou cidadãos
Proteger os dados
Avisar em caso de vazamento
OWASP 8
Monday, August 8, 11
9. O que pode ser feito?
Por órgãos de defesa do consumidor
Definir que os consumidores devem ser informados dos
possíveis usos dos dados inseridos em sistemas ou sites
Consumidor deve aprovar os usos previstos
Comunicar alterações de políticas
Estabelecer campanhas de conscientização de
segurança para os consumidores
OWASP 9
Monday, August 8, 11
10. O que pode ser feito?
Por órgãos de controle
Definir claramente as responsabilidades com relação à
segurança de aplicações
Verificar e auditar que práticas adequadas de segurança
são adotadas
Inserir os aspectos de segurança de aplicações em seus
regulamentos e/ou recomendações setoriais
Facilitar a criação de um mercado de seguros
Tendência a aumentar a segurança para diminuir os custos com
seguros
Requerer o uso de conexões criptografadas (SSL) para
aplicações web
OWASP 10
Monday, August 8, 11
11. O que pode ser feito?
Por órgãos de ensino e pesquisa
Inclusão das boas práticas de segurança de aplicações
no conteúdo dos cursos
Em todos os níveis de ensino
Definição de cursos avançados para formação de mão-
de-obra
Fomentar e financiar pesquisas sobre segurança de
aplicações
Em universidades e empresas
Promover a formação de profissionais capazes de atuar
com ética e responsabilidade
OWASP 11
Monday, August 8, 11
12. O que pode ser feito?
Por todos os órgãos públicos
Financiar validações e segurança para sistemas de
código aberto
Produzir avaliações e correções de segurança para a sociedade
Promover o uso de tecnologias e metodologias de
segurança de aplicações
Internamente e por fornecedores
Promover e permitir testes de segurança de forma
responsável mas aberta
Permitir acesso aos pesquisadores éticos
Procedimentos definidos
Promover treinamento e conscientização dos gestores
para os desafios da segurança na web OWASP 12
Monday, August 8, 11
13. Vantagens para o país
Área em crescimento em todo o mundo
Desenvolvimento tecnológico
Desenvolvimento de mão-de-obra altamente
capacitada
Crescimento de áreas afins
e-commerce
e-gov
Atração de investimentos
Criação de negócios e empresas
OWASP 13
Monday, August 8, 11
14. AppSec Latam 2011
4 a 7 de outubro de 2011
www.appseclatam.org
@AppSecLatam OWASP 14
Monday, August 8, 11