Security 2013Luanda, 30 de Maio de 2013SEGURANÇA EM SOFTWAREPaulo de Mendonça Dias1“If debugging is the process of removin...
2The Internet:where men are women, women are men,and children are FBI agents
375 ANOS38 ANOS13 ANOS4 ANOS3,5 ANOS35 DIASTelefoneRádioTelevisãoInternetFacebookAngry BirdsO MARCO DOS 50 MILHÕES DE UTIL...
O QUE TEM ACONTECIDO …4 Pequenas e médias empresas como o elo mais fraco Autores de Malware são os novos Big Brother Mo...
“Security is like sex, one mistake and you have tosupport it for the rest of your life.”5
624 milhões de identidades roubadas da ZapposOSX.Flashback Trojan infeta 600.000 MacContas de LinkedIn expostas.Empresa pr...
GRAUS DE DIFICULDADEf"The only problem with troubleshooting is that sometimestrouble shoots back.“78. Reconhecimento7. DoS...
GRAUS DE DIFICULDADE8
10 PASSOS para a Cibersegurança,versus "Hey! It compiles! Ship it!“91. Casa e ambiente mobile2. Formação utilizadores e se...
20 CONTROLOS MANDATÓRIOSPARA A CIBERSEGURANÇA101. Inventário de dispositivos autorizados e não autorizados2. Inventário de...
SOCIAL NETWORK11Baseada em relações de confiançaViral
CLOUD COMPUTING12 Privacidade: como é feita a gestão da informação e como é acedida Propriedade dos dados: como extrair ...
OBRIGADO!Let’s stay in touch!13PAULO DE MENDONÇA DIASpt.linkedin.com/in/paulodemendoncadiaswww.infinite.ptwww.facebook.com...
Próximos SlideShares
Carregando em…5
×

Segurança em Software (IDC Angola CIO Summit 2013)

349 visualizações

Publicada em

Palestra sobre Segurança em Software dada por Paulo de Mendonça Dias no evento IDC Angola CIO Summit 2013.

Visite o nosso site: www.infinite.pt
e siga-nos nas redes sociais:
https://www.facebook.com/infinite.pt
http://www.linkedin.com/company/infinite-business-solutions_2

Mais informação sobre o evento: http://bit.ly/16sW5lo

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
349
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Segurança em Software (IDC Angola CIO Summit 2013)

  1. 1. Security 2013Luanda, 30 de Maio de 2013SEGURANÇA EM SOFTWAREPaulo de Mendonça Dias1“If debugging is the process of removing bugs, thenprogramming must be the process of putting them in.”Auditor de Defesa Nacional (Instituto da Defesa Nacional – Ministério da Defesa)Master of Science in Information Security (Carnegie Mellon University - Pittsburgh, USA)Mestre em Segurança Informática (Faculdade de Ciências da Universidade de Lisboa)Engº Informático (Instituto Superior de Informática e Gestão - Lisboa)
  2. 2. 2The Internet:where men are women, women are men,and children are FBI agents
  3. 3. 375 ANOS38 ANOS13 ANOS4 ANOS3,5 ANOS35 DIASTelefoneRádioTelevisãoInternetFacebookAngry BirdsO MARCO DOS 50 MILHÕES DE UTILIZADORES
  4. 4. O QUE TEM ACONTECIDO …4 Pequenas e médias empresas como o elo mais fraco Autores de Malware são os novos Big Brother Mobile, mobile … Vulnerabilidades “zero-day” disponíveis no mercadoRESPONSABILIDADES?Shamoon (discos em empresas de energia no Médio Oriente): “CuttingSword of Justice”DDoS contra bancos: Izz ad-Din al-Qassam Cyber Fighters”MAS …… fachada para governos ou para mascarar transações
  5. 5. “Security is like sex, one mistake and you have tosupport it for the rest of your life.”5
  6. 6. 624 milhões de identidades roubadas da ZapposOSX.Flashback Trojan infeta 600.000 MacContas de LinkedIn expostas.Empresa processadora de pagamentos (incluindo Visa eMasterCard) atacada e dados 1,5 milhões de utilizadoresexpostosServidores de DNS, geridos pelo FBI após ataque doDNSChanger Trojan, sofrem DoSTrojan usabo para roubar informação do governojaponês é descoberto, após 2 anosMalware para imagens virtuais de VMware®Ladrões exploram vulnerabilidade nas fechaduras deconhecido fabricante para assaltar quartos de hotelEm Maio, CA Comodo legitimacertificado de empresa fictícia.Decoberto em AgostoSamsung versão Android™permite limpar telefoneremotamenteReuters atacada resultado napublicação de notícias falsas nosite e twitter
  7. 7. GRAUS DE DIFICULDADEf"The only problem with troubleshooting is that sometimestrouble shoots back.“78. Reconhecimento7. DoS Negação de Serviço6. Website “defacement”5. Infeção direcionada4. “Mischief” (do francês mischief,travessura, infortunio)3. Acesso a longo prazo2. Air gap networking1. SabotagemH. Brückner
  8. 8. GRAUS DE DIFICULDADE8
  9. 9. 10 PASSOS para a Cibersegurança,versus "Hey! It compiles! Ship it!“91. Casa e ambiente mobile2. Formação utilizadores e sensibilização3. Gestão de incidentes4. Gestão de risco5. Privilégios de utilizadores6. BYOD7. Monitorização e control8. Configurações seguras9. Proteção malware e segurança de rede10. Segurança de software
  10. 10. 20 CONTROLOS MANDATÓRIOSPARA A CIBERSEGURANÇA101. Inventário de dispositivos autorizados e não autorizados2. Inventário de software autorizado e não autorizado3. Configuração segura de hardware e software4. Análise de vulnerabilidades continuada5. Proteção de malware6. Application software security7. Controlo de dispositivos wireless8. Capacidade de recuperação de dados9. Avaliação de competências em segurança e formação para colmatar falhas10. Configuração segura de dispositivos de rede11. Limitação e controlo de portos, protocolos e serviços12. Uso controlado de privilégios de administração13. Defesa de perímetro14. Logs, logs, logs, logs …15. Implementação de política de “need-to-know“16. Monitorização e controlo de contas17. Data loss prevention18. Capacidade de resposta a incidentes19. Engenharia de segurança de rede20. Testes de intrusão e exercícios “red team”
  11. 11. SOCIAL NETWORK11Baseada em relações de confiançaViral
  12. 12. CLOUD COMPUTING12 Privacidade: como é feita a gestão da informação e como é acedida Propriedade dos dados: como extrair e remover a informação Lei do menor esforço: os holofotes estão onde as recompensas são grandes Dropbox: contas estiveram abertas por 4 horas Compliance: por exemplo, servidores de mail podem violar políticas da empresa Infraestrutura: receio de, numa arquitectura virtualizada “multi-tenant”, umamáquina de um hacker possa explorar uma vulnerabilidade do hypervisor eganhar acesso às outras máquinas virtuais Encriptação no servidor
  13. 13. OBRIGADO!Let’s stay in touch!13PAULO DE MENDONÇA DIASpt.linkedin.com/in/paulodemendoncadiaswww.infinite.ptwww.facebook.com/infinite.pt

×