SlideShare uma empresa Scribd logo
1 de 12
Baixar para ler offline
Slide Show nº 1




        Por que se preocupar com a
       Segurança das Aplicações Web
             nos dias de hoje...


Autor: Eduardo Lanna             rev. 05/jan/11
Por que devemos nos preocupar?
            A inevitável evolução da tecnologia que move o mundo...

Aplicações Web estão mais humanizadas e funcionais...
  Sistemas web são personalizados
  Plataformas: Java, PHP,.Net, XML...
  Normalização da tecnologia
  Padrões abertos, Web 2.0
  Exposição de APIs
  Reutilização de componentes (SOAP)
  “Remote Scripting” (AJAX)
  Desacoplamento e Apresentação




                                                             Slide 2/12
Por que devemos nos preocupar?
            Se Sistemas Web sustentam a operação do seu negócio...


A operação do negócio é cada vez mais
dependente de Sistemas automatizados...

E Sistemas são expostos para acesso de
parceiros e clientes pela Internet...

Neste cenário dinâmico, cada vez mais aplicações e informações
críticas estão na web a cada dia
  A velocidade de lançamentos de negócios na web supera os esforços
  com a segurança da informação...

Mas segurança raramente é um requisito solicitado pela área de
negócios... um erro que pode custar caro hoje em dia!


                                                            Slide 3/12
Por que devemos nos preocupar?
               Pesquisas comprovam os riscos de falhas na segurança...

40% a 53% das vulnerabilidades identificadas entre 2006 e 2008 pelos
fabricantes não haviam sido 100% resolvidas até o final de 2009! (IBM)
  Ocorrências de “Zero-Day Attack” representam riscos reais...

No Brasil 13% das empresas que sofreram ataques tiveram prejuízos
que passaram de R$ 1 Bilhão (Módulo, 2010)

Mais da metade dos problemas de segurança na internet está
relacionada às aplicações web (Gartner)

        Mais de 75% dos
      ataques ocorrem na
     camada da aplicação
         (Gartner 2009)



                                                                 Slide 4/12
Por que devemos nos preocupar?
             A raiz do problema está no desenvolvimento...

Falta a incorporação de requisitos de segurança no processo de
desenvolvimento das aplicações web:
 As Competências Técnicas do desenvolvedor
 priorizam os requisitos funcionais...
 Falta a cultura da segurança na equipe de
 desenvolvimento...
 O dilema “prazoXcusto” afeta a qualidade da entrega.

O tema segurança acaba visto como problema da área
de infraestrutura de TI...

O custo da manutenção da segurança de aplicações em
produção é até 10x mais cara!!!

                                                             Slide 5/12
Por que Segurança de Aplicações Web?
                     Mudança do alvo de ataques de hackers nos últimos anos

     A maior ocorrência de vulnerabilidades agora está aqui...




 Maiores      Infraestrutura de TI:
iniciativas   ações consolidadas.


                      Maiores         Ambiente das Aplicações Web: ações incipientes.
                      ameaças         Mais de 20 categorias de vulnerabilidades...

                                                                                     Slide 6/12
Por que Segurança de Aplicações Web?
             Ataques pela internet são uma ameaça real ...

Hackers atacam preferencialmente aplicações web porque é lá
que as vulnerabilidades mais exploráveis estão presentes.

Crimes pela web oferecem menor risco e maior lucratividade...
a Legislação Brasileira ainda é deficiente nesta área.

Fazer negócio com segurança está se tornando obrigatório
  Diferentes indústrias criaram regulações como medida preventiva.
  A maioria das regulações seguem melhores práticas “de fato”:
    Basel II (BACEN 3.380)
     Mercado de Capitais – (SOx, Bovespa Nível II)
     PCI – Payment Card Industry



                                                             Slide 7/12
Segurança de Aplicações Web
               OWASP Top 10 Most Critical Web Application Security Risk




                                                    Fonte: http://www.owasp.org

                                                    rev. Abril/2010



A lista Top 10 é dinâmica: ameaças A6 e A10 mudaram de posição em
relação à pesquisa anterior da Open Web Application Security Project.

                                                                      Slide 8/12
Segurança de Aplicações Web
             Os diversos tipos de impacto causados por um ataque

Acesso não autorizado a dados confidenciais
e estratégicos;

Roubo de informações e dados de Clientes;

Interrupção/queda de desempenho do serviço;
Fraudes e modificação de dados no fluxo das transações;

Perdas financeiras diretas e indiretas;

Prejuízos à marca e imagem da empresa;

Perda da confiança e lealdade dos Clientes;

Aumento de gastos com ações de segurança reativas, pós ataque!

                                                             Slide 9/12
Segurança de Aplicações Web
              Função do risco de ataque a um Sistema e suas variáveis

           ?                                           ?
    (agente malicioso + vulnerabilidade + padrão de ataque)




                                                        Fonte: www.owasp.org


Para mitigar riscos... esteja sempre à frente das ameaças!!!! (Gartner)
Identificar as vulnerabilidades permite antecipa-se ao risco de ataques!!!
Gerenciá-las cria um ciclo de monitoramento e de melhoria contínuos...

                                                                       Slide 10/12
Segurança de Aplicações Web
             Quem deve se preocupar com Segurança na Internet?

Setor Financeiro: Bancos e Corretoras;
Seguradoras e diversos Serviços pela Internet;
e-Commerce: plataformas de tecnologia para Lojas Virtuais;
Fábricas de Software e Sistemas Corporativos (ERP, RH, etc).
Empresas obrigadas a conformidade com regulamentações:
BACEN, SOx, PCI-DSS, HIPPA, etc.
Grandes Marcas com negócios expostos na internet;
Empresas com ações na Bolsa (Governança de TI);
Provedores de serviços de infra-estrutura de Data Centers;
Segmento Governo: plataformas de Serviços Públicos;

                                                             Slide 11/12
Departamento Comercial
 Tel: +55 (11) 3044-1819
 e-mail: contato@redesegura.com.br
 visite: www.redesegura.com.br




 Veja também nossa apresentação
        sobre o Processo de
Gerenciamento de Vulnerabilidades...


Autor: Eduardo Lanna

Mais conteúdo relacionado

Mais procurados

Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 
Artigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCryArtigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCryTI Safe
 
Segurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraSegurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraVinícius Schmidt
 
UFF Tech 2013 - Segurança no Cloud - Álvaro Teófilo, Produban (Banco Santander)
UFF Tech 2013 - Segurança no Cloud -  Álvaro Teófilo, Produban (Banco Santander)UFF Tech 2013 - Segurança no Cloud -  Álvaro Teófilo, Produban (Banco Santander)
UFF Tech 2013 - Segurança no Cloud - Álvaro Teófilo, Produban (Banco Santander)Sti Uff
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
 
Seguranca em aplicacoes web
Seguranca em aplicacoes webSeguranca em aplicacoes web
Seguranca em aplicacoes webData Security
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-StalkerEduardo Lanna
 
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes  de automação ...Segundo relatório anual sobre incidentes de segurança em redes  de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...TI Safe
 
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...TI Safe
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...
1o relatório anual ti safe sobre incidentes de segurança em redes  de automaç...1o relatório anual ti safe sobre incidentes de segurança em redes  de automaç...
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...TI Safe
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Edson Aguilera-Fernandes
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoTI Safe
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)TI Safe
 

Mais procurados (19)

Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
 
Jose
JoseJose
Jose
 
Artigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCryArtigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCry
 
Segurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraSegurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - Dextra
 
UFF Tech 2013 - Segurança no Cloud - Álvaro Teófilo, Produban (Banco Santander)
UFF Tech 2013 - Segurança no Cloud -  Álvaro Teófilo, Produban (Banco Santander)UFF Tech 2013 - Segurança no Cloud -  Álvaro Teófilo, Produban (Banco Santander)
UFF Tech 2013 - Segurança no Cloud - Álvaro Teófilo, Produban (Banco Santander)
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
 
Seguranca em aplicacoes web
Seguranca em aplicacoes webSeguranca em aplicacoes web
Seguranca em aplicacoes web
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker
 
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes  de automação ...Segundo relatório anual sobre incidentes de segurança em redes  de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
 
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux  - LatinoWare 2015Pentest com Kali Linux  - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
 
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...
1o relatório anual ti safe sobre incidentes de segurança em redes  de automaç...1o relatório anual ti safe sobre incidentes de segurança em redes  de automaç...
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo Branquinho
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
 

Destaque

06 Se Eu Pudesse RecomeçAr
06 Se Eu Pudesse RecomeçAr06 Se Eu Pudesse RecomeçAr
06 Se Eu Pudesse RecomeçArguest06a00c
 
Colores y numeros autismo
Colores y numeros autismoColores y numeros autismo
Colores y numeros autismoguest177be8e
 
Ci contabilidade introdutória 000
Ci   contabilidade introdutória 000Ci   contabilidade introdutória 000
Ci contabilidade introdutória 000albumina
 
03 ProteçãO Contra A Infidelidade No Casamento
03 ProteçãO Contra A Infidelidade No Casamento03 ProteçãO Contra A Infidelidade No Casamento
03 ProteçãO Contra A Infidelidade No Casamentoguest06a00c
 
Receitas Aproveitamento Integral Dos Alimentos 09
Receitas Aproveitamento Integral Dos Alimentos 09Receitas Aproveitamento Integral Dos Alimentos 09
Receitas Aproveitamento Integral Dos Alimentos 09tsunamidaiquiri
 
Projeto ReuniãO Presidencial PortuguêS
Projeto ReuniãO Presidencial  PortuguêSProjeto ReuniãO Presidencial  PortuguêS
Projeto ReuniãO Presidencial PortuguêSguest91e528c
 
Culinaria Rural E Setaneja 11
Culinaria Rural E Setaneja 11Culinaria Rural E Setaneja 11
Culinaria Rural E Setaneja 11tsunamidaiquiri
 
Manifesto Eu Adoro Engarrafamento
Manifesto Eu Adoro EngarrafamentoManifesto Eu Adoro Engarrafamento
Manifesto Eu Adoro EngarrafamentoPlugme Audiolivros
 
Revista Saborintenso N 3 Julho 2009
Revista Saborintenso N  3 Julho 2009Revista Saborintenso N  3 Julho 2009
Revista Saborintenso N 3 Julho 2009quituteira quitutes
 
LegalizaçãO De Documentos Yahoo
LegalizaçãO De Documentos YahooLegalizaçãO De Documentos Yahoo
LegalizaçãO De Documentos Yahooguest143f7e
 
Os impactos ambientais no município de morro agudo (1)
Os impactos ambientais no município de morro agudo (1)Os impactos ambientais no município de morro agudo (1)
Os impactos ambientais no município de morro agudo (1)trikinik
 
Educação na UE - Ricardo e Naiola
Educação na UE - Ricardo e NaiolaEducação na UE - Ricardo e Naiola
Educação na UE - Ricardo e NaiolaTurmaD
 
Trabalho De Lingua Portuguesa
Trabalho De Lingua PortuguesaTrabalho De Lingua Portuguesa
Trabalho De Lingua PortuguesaCatarinaaSantoss
 

Destaque (20)

06 Se Eu Pudesse RecomeçAr
06 Se Eu Pudesse RecomeçAr06 Se Eu Pudesse RecomeçAr
06 Se Eu Pudesse RecomeçAr
 
Colores y numeros autismo
Colores y numeros autismoColores y numeros autismo
Colores y numeros autismo
 
Ci contabilidade introdutória 000
Ci   contabilidade introdutória 000Ci   contabilidade introdutória 000
Ci contabilidade introdutória 000
 
Atribuir Classificacao Trabalho
Atribuir Classificacao TrabalhoAtribuir Classificacao Trabalho
Atribuir Classificacao Trabalho
 
03 ProteçãO Contra A Infidelidade No Casamento
03 ProteçãO Contra A Infidelidade No Casamento03 ProteçãO Contra A Infidelidade No Casamento
03 ProteçãO Contra A Infidelidade No Casamento
 
Receitas Aproveitamento Integral Dos Alimentos 09
Receitas Aproveitamento Integral Dos Alimentos 09Receitas Aproveitamento Integral Dos Alimentos 09
Receitas Aproveitamento Integral Dos Alimentos 09
 
Lectura miercoles
Lectura miercolesLectura miercoles
Lectura miercoles
 
Cultura judaica
Cultura judaicaCultura judaica
Cultura judaica
 
Oi desejos
Oi desejosOi desejos
Oi desejos
 
Projeto ReuniãO Presidencial PortuguêS
Projeto ReuniãO Presidencial  PortuguêSProjeto ReuniãO Presidencial  PortuguêS
Projeto ReuniãO Presidencial PortuguêS
 
Culinaria Rural E Setaneja 11
Culinaria Rural E Setaneja 11Culinaria Rural E Setaneja 11
Culinaria Rural E Setaneja 11
 
Menu Chef Vol 20
Menu Chef Vol 20Menu Chef Vol 20
Menu Chef Vol 20
 
Manifesto Eu Adoro Engarrafamento
Manifesto Eu Adoro EngarrafamentoManifesto Eu Adoro Engarrafamento
Manifesto Eu Adoro Engarrafamento
 
Revista Saborintenso N 3 Julho 2009
Revista Saborintenso N  3 Julho 2009Revista Saborintenso N  3 Julho 2009
Revista Saborintenso N 3 Julho 2009
 
LegalizaçãO De Documentos Yahoo
LegalizaçãO De Documentos YahooLegalizaçãO De Documentos Yahoo
LegalizaçãO De Documentos Yahoo
 
Os impactos ambientais no município de morro agudo (1)
Os impactos ambientais no município de morro agudo (1)Os impactos ambientais no município de morro agudo (1)
Os impactos ambientais no município de morro agudo (1)
 
Educação na UE - Ricardo e Naiola
Educação na UE - Ricardo e NaiolaEducação na UE - Ricardo e Naiola
Educação na UE - Ricardo e Naiola
 
Trabalho De Lingua Portuguesa
Trabalho De Lingua PortuguesaTrabalho De Lingua Portuguesa
Trabalho De Lingua Portuguesa
 
Desporto
DesportoDesporto
Desporto
 
Brasilidades cachaça
Brasilidades cachaçaBrasilidades cachaça
Brasilidades cachaça
 

Semelhante a Por que se preocupar com Segurança de Aplicações Web

Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Alex Hübner
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDércio Luiz Reis
 
Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec Brasil
 
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialPalestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialTI Safe
 
Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoISH Tecnologia
 
Be Aware Webinar - Malwares Multiplataformas
Be Aware Webinar - Malwares MultiplataformasBe Aware Webinar - Malwares Multiplataformas
Be Aware Webinar - Malwares MultiplataformasSymantec Brasil
 
Segurança em um Planeta Inteligente
Segurança em um Planeta InteligenteSegurança em um Planeta Inteligente
Segurança em um Planeta InteligenteAlexandre Freire
 
Estategia IBM Security para mercado financeiro
Estategia IBM Security para mercado financeiroEstategia IBM Security para mercado financeiro
Estategia IBM Security para mercado financeiroAlexandre Freire
 
Executive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca MainframeExecutive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca MainframeMarcos Carvalho
 
Os maiores riscos de segurança
Os maiores riscos de segurançaOs maiores riscos de segurança
Os maiores riscos de segurançaYuri Dantas
 
10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerceSite Blindado S.A.
 

Semelhante a Por que se preocupar com Segurança de Aplicações Web (20)

Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
MTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento SeguroMTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento Seguro
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web Seguras
 
Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1
 
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialPalestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
 
Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informação
 
Be Aware Webinar - Malwares Multiplataformas
Be Aware Webinar - Malwares MultiplataformasBe Aware Webinar - Malwares Multiplataformas
Be Aware Webinar - Malwares Multiplataformas
 
2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de Segurança2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de Segurança
 
Trend micro
Trend microTrend micro
Trend micro
 
Segurança em um Planeta Inteligente
Segurança em um Planeta InteligenteSegurança em um Planeta Inteligente
Segurança em um Planeta Inteligente
 
(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker
 
Estategia IBM Security para mercado financeiro
Estategia IBM Security para mercado financeiroEstategia IBM Security para mercado financeiro
Estategia IBM Security para mercado financeiro
 
Executive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca MainframeExecutive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca Mainframe
 
Os maiores riscos de segurança
Os maiores riscos de segurançaOs maiores riscos de segurança
Os maiores riscos de segurança
 
10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce
 
Road Show - Arcsight ETRM
Road Show - Arcsight ETRMRoad Show - Arcsight ETRM
Road Show - Arcsight ETRM
 

Mais de KeySupport Consultoria e Informática Ltda (7)

Padronização de cadastros e abreviações em campos de dados
Padronização de cadastros e abreviações em campos de dadosPadronização de cadastros e abreviações em campos de dados
Padronização de cadastros e abreviações em campos de dados
 
Webservice de Consultas integrado ao ERP (SAP)
Webservice de Consultas integrado ao ERP (SAP)Webservice de Consultas integrado ao ERP (SAP)
Webservice de Consultas integrado ao ERP (SAP)
 
Alternativas de Governanca de processos do Cadastro
Alternativas de Governanca de processos do CadastroAlternativas de Governanca de processos do Cadastro
Alternativas de Governanca de processos do Cadastro
 
O Risco Fiscal do cadastro com arquivos do SPED NFe
O Risco Fiscal do cadastro com arquivos do SPED NFeO Risco Fiscal do cadastro com arquivos do SPED NFe
O Risco Fiscal do cadastro com arquivos do SPED NFe
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura
 
Saneamento de Cadastro de Clientes e Fornecedores (KeyConsultas-web)
Saneamento de Cadastro de Clientes e Fornecedores (KeyConsultas-web)Saneamento de Cadastro de Clientes e Fornecedores (KeyConsultas-web)
Saneamento de Cadastro de Clientes e Fornecedores (KeyConsultas-web)
 
Curso para Planejamento do Projeto NFe Pelo Contribuinte (KeySupport)
Curso para Planejamento do Projeto NFe Pelo Contribuinte (KeySupport)Curso para Planejamento do Projeto NFe Pelo Contribuinte (KeySupport)
Curso para Planejamento do Projeto NFe Pelo Contribuinte (KeySupport)
 

Por que se preocupar com Segurança de Aplicações Web

  • 1. Slide Show nº 1 Por que se preocupar com a Segurança das Aplicações Web nos dias de hoje... Autor: Eduardo Lanna rev. 05/jan/11
  • 2. Por que devemos nos preocupar? A inevitável evolução da tecnologia que move o mundo... Aplicações Web estão mais humanizadas e funcionais... Sistemas web são personalizados Plataformas: Java, PHP,.Net, XML... Normalização da tecnologia Padrões abertos, Web 2.0 Exposição de APIs Reutilização de componentes (SOAP) “Remote Scripting” (AJAX) Desacoplamento e Apresentação Slide 2/12
  • 3. Por que devemos nos preocupar? Se Sistemas Web sustentam a operação do seu negócio... A operação do negócio é cada vez mais dependente de Sistemas automatizados... E Sistemas são expostos para acesso de parceiros e clientes pela Internet... Neste cenário dinâmico, cada vez mais aplicações e informações críticas estão na web a cada dia A velocidade de lançamentos de negócios na web supera os esforços com a segurança da informação... Mas segurança raramente é um requisito solicitado pela área de negócios... um erro que pode custar caro hoje em dia! Slide 3/12
  • 4. Por que devemos nos preocupar? Pesquisas comprovam os riscos de falhas na segurança... 40% a 53% das vulnerabilidades identificadas entre 2006 e 2008 pelos fabricantes não haviam sido 100% resolvidas até o final de 2009! (IBM) Ocorrências de “Zero-Day Attack” representam riscos reais... No Brasil 13% das empresas que sofreram ataques tiveram prejuízos que passaram de R$ 1 Bilhão (Módulo, 2010) Mais da metade dos problemas de segurança na internet está relacionada às aplicações web (Gartner) Mais de 75% dos ataques ocorrem na camada da aplicação (Gartner 2009) Slide 4/12
  • 5. Por que devemos nos preocupar? A raiz do problema está no desenvolvimento... Falta a incorporação de requisitos de segurança no processo de desenvolvimento das aplicações web: As Competências Técnicas do desenvolvedor priorizam os requisitos funcionais... Falta a cultura da segurança na equipe de desenvolvimento... O dilema “prazoXcusto” afeta a qualidade da entrega. O tema segurança acaba visto como problema da área de infraestrutura de TI... O custo da manutenção da segurança de aplicações em produção é até 10x mais cara!!! Slide 5/12
  • 6. Por que Segurança de Aplicações Web? Mudança do alvo de ataques de hackers nos últimos anos A maior ocorrência de vulnerabilidades agora está aqui... Maiores Infraestrutura de TI: iniciativas ações consolidadas. Maiores Ambiente das Aplicações Web: ações incipientes. ameaças Mais de 20 categorias de vulnerabilidades... Slide 6/12
  • 7. Por que Segurança de Aplicações Web? Ataques pela internet são uma ameaça real ... Hackers atacam preferencialmente aplicações web porque é lá que as vulnerabilidades mais exploráveis estão presentes. Crimes pela web oferecem menor risco e maior lucratividade... a Legislação Brasileira ainda é deficiente nesta área. Fazer negócio com segurança está se tornando obrigatório Diferentes indústrias criaram regulações como medida preventiva. A maioria das regulações seguem melhores práticas “de fato”: Basel II (BACEN 3.380) Mercado de Capitais – (SOx, Bovespa Nível II) PCI – Payment Card Industry Slide 7/12
  • 8. Segurança de Aplicações Web OWASP Top 10 Most Critical Web Application Security Risk Fonte: http://www.owasp.org rev. Abril/2010 A lista Top 10 é dinâmica: ameaças A6 e A10 mudaram de posição em relação à pesquisa anterior da Open Web Application Security Project. Slide 8/12
  • 9. Segurança de Aplicações Web Os diversos tipos de impacto causados por um ataque Acesso não autorizado a dados confidenciais e estratégicos; Roubo de informações e dados de Clientes; Interrupção/queda de desempenho do serviço; Fraudes e modificação de dados no fluxo das transações; Perdas financeiras diretas e indiretas; Prejuízos à marca e imagem da empresa; Perda da confiança e lealdade dos Clientes; Aumento de gastos com ações de segurança reativas, pós ataque! Slide 9/12
  • 10. Segurança de Aplicações Web Função do risco de ataque a um Sistema e suas variáveis ? ? (agente malicioso + vulnerabilidade + padrão de ataque) Fonte: www.owasp.org Para mitigar riscos... esteja sempre à frente das ameaças!!!! (Gartner) Identificar as vulnerabilidades permite antecipa-se ao risco de ataques!!! Gerenciá-las cria um ciclo de monitoramento e de melhoria contínuos... Slide 10/12
  • 11. Segurança de Aplicações Web Quem deve se preocupar com Segurança na Internet? Setor Financeiro: Bancos e Corretoras; Seguradoras e diversos Serviços pela Internet; e-Commerce: plataformas de tecnologia para Lojas Virtuais; Fábricas de Software e Sistemas Corporativos (ERP, RH, etc). Empresas obrigadas a conformidade com regulamentações: BACEN, SOx, PCI-DSS, HIPPA, etc. Grandes Marcas com negócios expostos na internet; Empresas com ações na Bolsa (Governança de TI); Provedores de serviços de infra-estrutura de Data Centers; Segmento Governo: plataformas de Serviços Públicos; Slide 11/12
  • 12. Departamento Comercial Tel: +55 (11) 3044-1819 e-mail: contato@redesegura.com.br visite: www.redesegura.com.br Veja também nossa apresentação sobre o Processo de Gerenciamento de Vulnerabilidades... Autor: Eduardo Lanna