SlideShare uma empresa Scribd logo
Jordan M. Bonagura
   jobona@terra.com.br
     Twitter- jbonagura
SegInfo - 2011, Rio de Janeiro
Quem sou eu
 Pesquisador Independente em Segurança

 Fundador do Projeto Stay Safe




 Membro do Projeto GNSS – INPE

 Membro Diretor do Cloud Security Alliance – Brasil

 Membro da Comissão de Crimes de Alta Tecnologia da OAB

 Docente na área de Segurança da Informação

 Organizador da Vale Security Conference
Agenda

    Valor da Informação;

    Problemática;

    Novo Modelo OSI;

    Exemplos;

    Impactos e

    Necessidades
Valor da Informação
 Quanto vale as informações da sua empresa?
Valor da Informação
 E se você não mais tiver essas informações...
Valor da Informação
 Se estas informações estiverem nas mãos de seus concorrentes.




                                                          Uma fatia do mercado?
Valor da Informação
 Então porque não cuidar?




                            É a sua fatia do mercado...
“Mas, nós cuidamos...”

    Mecanismos                     Mecanismos                        Serviços
     Físicos                        Lógicos




       Fechaduras                       IDS / IPS                    Políticas - Normas




       Kits LockPick                Hackers/Crackers                     Usuários

* Os softwares e equipamentos aqui demonstrados são meramente ilustrativos...

                                                    O MSN não está estava logando.... #novidade
“Temos até um CSO...”
Então, resolvido ?
 Infelizmente não....
Problemática


O Processo construtivo pelo qual
as empresas passam no momento
     de criar e estruturar suas
               políticas.
Problemática


  Alguma semelhança entre as
       imagens anteriores?
Processo Construtivo
Processo Construtivo
 Portanto, processo construtivo #FAIL
Vamos analisar...
Visão “inbox” X “outbox”




                      NOVIDADE:
Os terceiros (Crackers) / Concorrentes não fazem parte
                    do SEU plano!!!
Pseudo Segurança




            O nosso matador!!!
Problemática

 Processo Construtivo

         Visão “Inbox”

               Pseudo Segurança
Novo Modelo OSI ?


             Falha Humana

              Aplicação

             Apresentação

                Sessão

              Transporte

                Rede

                Enlace

                Física
Por razões óbvias as URL’s e nomes foram omitidos,
  preservando assim a imagem das instituições.
Casos Práticos
Exemplos
           Restaurantes Corporativos




                                            Instituição Financeira




                Nada como começar com um:

                       “HELLO WORLD!”
Exemplos
           Restaurantes Corporativos




                                       Saúde
Exemplos


           Saúde
Exemplos


           Saúde
Exemplos
           Restaurantes Corporativos




                                       Instituição Financeira




                                              Google
                                           site:com.br
                                           filetype:txt
                                              banco
Exemplos
           Restaurantes Corporativos




                                       Instituição Financeira
Exemplos
           Restaurantes Corporativos




                                             Restaurantes Empresariais




                                       Diretamente na Internet...
                                             Vai dar Samba!
                                              #piada_nerd
Exemplos


           Restaurantes Empresariais
Exemplos




           Restaurantes Empresariais




           Criptografia?
           Não precisa....
Exemplos
                         Editora
           Construtora
Exemplos
           Universidade
Exemplos
           Jornalismo - Comunicação
Exemplos
           Jornalismo - Comunicação




                  W.A.F.
Exemplos
           Agronegócio




             Mais fácil...
Exemplos

                  Agronegócio




           Escolher SQL ou sh?
Exemplos

           Agronegócio




              Ok, sh
Exemplos
           Franquias




               Criptografia?
Exemplos
           Franquias




                   E se ...
Exemplos
           Franquias




                       ...
Exemplos
           Franquias
Franquias
Exemplos
Exemplos
Exemplos
Exemplos
Exemplos
Exemplos




           Open Proxy?
              Só??
Exemplos




               Norma da Empresa:

           Proibido entrar com notebook

           “Celular” pode normalmente.
Exemplos
Exemplos
Impactos

 Falhas acessíveis para qualquer usuário pois exige pequeno grau de

conhecimento técnico;

 Escalação de Privilégio;

 Possibilidades de alterações de conteúdo (denigrir imagem);

 Alterações de informações, podendo gerar prejuízos financeiros.

 Conhecimentos                                Riscos
   Técnicos                                 Corporativos
Calma! Nem tudo está perdido...
Pessoas que não vivenciem.




É mais fácil encontrar vulnerabilidades quando não se está no dia a dia da empresa.
Necessidades

 Melhor integração Hackers com CSOs;




 Visão outbox no desenvolvimento de políticas de segurança;




 Canais de Report mais específicos e claros.



                                                Pentest!!!
E as SUAS informações? Estão Seguras?
Vale Security Conference
      03 e 04 de Setembro
   São José dos Campos - SP

  www.valesecconf.com.br
Jordan M. Bonagura

  jobona@terra.com.br
  www.staysafe.com.br

  Twitter - jbonagura
Jordan M. Bonagura

  jobona@terra.com.br
  www.staysafe.com.br

  Twitter - jbonagura

Mais conteúdo relacionado

Destaque

"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
SegInfo
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
SegInfo
 
CNASI 2011
CNASI 2011CNASI 2011
CNASI 2011
Luiz Sales Rabelo
 
Processo investigativo - Faculdader Impacta
Processo investigativo - Faculdader ImpactaProcesso investigativo - Faculdader Impacta
Processo investigativo - Faculdader Impacta
Luiz Sales Rabelo
 
Oficina Integradora - Daryus Impacta
Oficina Integradora - Daryus ImpactaOficina Integradora - Daryus Impacta
Oficina Integradora - Daryus Impacta
Luiz Sales Rabelo
 
Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição
SegInfo
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
SegInfo
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito
SegInfo
 
Realidade Aumentada auxiliando na organização e interação aos Livros de Bibli...
Realidade Aumentada auxiliando na organização e interação aos Livros de Bibli...Realidade Aumentada auxiliando na organização e interação aos Livros de Bibli...
Realidade Aumentada auxiliando na organização e interação aos Livros de Bibli...
Junior Abreu
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
SegInfo
 
Começando um Pequeno & Grande Negócio
Começando um Pequeno & Grande NegócioComeçando um Pequeno & Grande Negócio
Começando um Pequeno & Grande Negócio
Junior Abreu
 
Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012
Luiz Sales Rabelo
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
SegInfo
 
Rede Sociais: Usando a Ferramenta Para o Seu Proveito
Rede Sociais: Usando a Ferramenta Para o Seu ProveitoRede Sociais: Usando a Ferramenta Para o Seu Proveito
Rede Sociais: Usando a Ferramenta Para o Seu Proveito
Junior Abreu
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013
SegInfo
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
SegInfo
 
Guerra cibernética - Impacta
Guerra cibernética - ImpactaGuerra cibernética - Impacta
Guerra cibernética - Impacta
Luiz Sales Rabelo
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
SegInfo
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e Técnicas
Luiz Sales Rabelo
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
SegInfo
 

Destaque (20)

"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
 
CNASI 2011
CNASI 2011CNASI 2011
CNASI 2011
 
Processo investigativo - Faculdader Impacta
Processo investigativo - Faculdader ImpactaProcesso investigativo - Faculdader Impacta
Processo investigativo - Faculdader Impacta
 
Oficina Integradora - Daryus Impacta
Oficina Integradora - Daryus ImpactaOficina Integradora - Daryus Impacta
Oficina Integradora - Daryus Impacta
 
Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito
 
Realidade Aumentada auxiliando na organização e interação aos Livros de Bibli...
Realidade Aumentada auxiliando na organização e interação aos Livros de Bibli...Realidade Aumentada auxiliando na organização e interação aos Livros de Bibli...
Realidade Aumentada auxiliando na organização e interação aos Livros de Bibli...
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
 
Começando um Pequeno & Grande Negócio
Começando um Pequeno & Grande NegócioComeçando um Pequeno & Grande Negócio
Começando um Pequeno & Grande Negócio
 
Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
 
Rede Sociais: Usando a Ferramenta Para o Seu Proveito
Rede Sociais: Usando a Ferramenta Para o Seu ProveitoRede Sociais: Usando a Ferramenta Para o Seu Proveito
Rede Sociais: Usando a Ferramenta Para o Seu Proveito
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
 
Guerra cibernética - Impacta
Guerra cibernética - ImpactaGuerra cibernética - Impacta
Guerra cibernética - Impacta
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e Técnicas
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
 

Semelhante a A Miopia do CSO por Jordan Bonagura

Governança e Gestão - 2ª Aula
Governança e Gestão - 2ª AulaGovernança e Gestão - 2ª Aula
Governança e Gestão - 2ª Aula
Alessandro Almeida
 
UAI Test 2014 - Storyboards - dos Requisitos aos Testes
UAI Test 2014 - Storyboards - dos Requisitos aos TestesUAI Test 2014 - Storyboards - dos Requisitos aos Testes
UAI Test 2014 - Storyboards - dos Requisitos aos Testes
José Correia
 
Como iniciar uma Startup - Grupo StartupMT
Como iniciar uma Startup - Grupo StartupMTComo iniciar uma Startup - Grupo StartupMT
Como iniciar uma Startup - Grupo StartupMT
Rodrigo Coelho
 
Software Público como Serviço: uma startup do zero com SL e cloud computing
Software Público como Serviço: uma startup do zero com SL e cloud computingSoftware Público como Serviço: uma startup do zero com SL e cloud computing
Software Público como Serviço: uma startup do zero com SL e cloud computing
Portabilis
 
Como identificar oportunidades de robotização [Webinares iProcess]
Como identificar oportunidades de robotização [Webinares iProcess]Como identificar oportunidades de robotização [Webinares iProcess]
Como identificar oportunidades de robotização [Webinares iProcess]
iProcess Soluções em BPM e RPA
 
IGEC - Conteúdo Corporativo Unidade4 3108
IGEC - Conteúdo Corporativo Unidade4 3108IGEC - Conteúdo Corporativo Unidade4 3108
IGEC - Conteúdo Corporativo Unidade4 3108
Mauro Amaral
 
Projeto de API - TDC 2014 - Floripa - Trilha Arquitetura - 18/05/2014
Projeto de API - TDC 2014 - Floripa - Trilha Arquitetura - 18/05/2014Projeto de API - TDC 2014 - Floripa - Trilha Arquitetura - 18/05/2014
Projeto de API - TDC 2014 - Floripa - Trilha Arquitetura - 18/05/2014
Gilmar PSL
 
Projeto de API, por Gilmar P.S
Projeto de API, por Gilmar P.SProjeto de API, por Gilmar P.S
Projeto de API, por Gilmar P.S
Thoughtworks
 
Analise de SWOT - Parte 2
Analise de SWOT - Parte 2Analise de SWOT - Parte 2
Analise de SWOT - Parte 2
Wilson Souza
 
Web 2.0 Na Prática - Mario Costa - IBM
Web 2.0 Na Prática - Mario Costa - IBMWeb 2.0 Na Prática - Mario Costa - IBM
Web 2.0 Na Prática - Mario Costa - IBM
Fernanda Boas
 
MKT Conversacional Reloaded
MKT Conversacional ReloadedMKT Conversacional Reloaded
MKT Conversacional Reloaded
Billy Garcia
 
Marketing Conversacional RELOADED
Marketing Conversacional RELOADEDMarketing Conversacional RELOADED
Marketing Conversacional RELOADED
Billy Garcia
 
E-Commerce 2010 - Apostila FGV
E-Commerce 2010 - Apostila FGVE-Commerce 2010 - Apostila FGV
E-Commerce 2010 - Apostila FGV
Andre Kischinevsky
 
Métricas Para a Web 2.0
Métricas Para a Web 2.0Métricas Para a Web 2.0
Métricas Para a Web 2.0
Rafael Damasceno
 
TDC2017 | São Paulo - Trilha Finitech How we figured out we had a SRE team at...
TDC2017 | São Paulo - Trilha Finitech How we figured out we had a SRE team at...TDC2017 | São Paulo - Trilha Finitech How we figured out we had a SRE team at...
TDC2017 | São Paulo - Trilha Finitech How we figured out we had a SRE team at...
tdc-globalcode
 
Inteligência nos Processos
Inteligência nos ProcessosInteligência nos Processos
Inteligência nos Processos
Francisco Spindola de Melo
 
Filtro de SPAM
Filtro de SPAMFiltro de SPAM
Filtro de SPAM
Cauan Cabral
 
Webinar Portal Colaborativo
Webinar Portal ColaborativoWebinar Portal Colaborativo
Webinar Portal Colaborativo
Rafael Lamari Junior
 
in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestores
Rodrigo Jorge
 
Tecnologia Juridica
Tecnologia JuridicaTecnologia Juridica
Tecnologia Juridica
Claudio Wilberg
 

Semelhante a A Miopia do CSO por Jordan Bonagura (20)

Governança e Gestão - 2ª Aula
Governança e Gestão - 2ª AulaGovernança e Gestão - 2ª Aula
Governança e Gestão - 2ª Aula
 
UAI Test 2014 - Storyboards - dos Requisitos aos Testes
UAI Test 2014 - Storyboards - dos Requisitos aos TestesUAI Test 2014 - Storyboards - dos Requisitos aos Testes
UAI Test 2014 - Storyboards - dos Requisitos aos Testes
 
Como iniciar uma Startup - Grupo StartupMT
Como iniciar uma Startup - Grupo StartupMTComo iniciar uma Startup - Grupo StartupMT
Como iniciar uma Startup - Grupo StartupMT
 
Software Público como Serviço: uma startup do zero com SL e cloud computing
Software Público como Serviço: uma startup do zero com SL e cloud computingSoftware Público como Serviço: uma startup do zero com SL e cloud computing
Software Público como Serviço: uma startup do zero com SL e cloud computing
 
Como identificar oportunidades de robotização [Webinares iProcess]
Como identificar oportunidades de robotização [Webinares iProcess]Como identificar oportunidades de robotização [Webinares iProcess]
Como identificar oportunidades de robotização [Webinares iProcess]
 
IGEC - Conteúdo Corporativo Unidade4 3108
IGEC - Conteúdo Corporativo Unidade4 3108IGEC - Conteúdo Corporativo Unidade4 3108
IGEC - Conteúdo Corporativo Unidade4 3108
 
Projeto de API - TDC 2014 - Floripa - Trilha Arquitetura - 18/05/2014
Projeto de API - TDC 2014 - Floripa - Trilha Arquitetura - 18/05/2014Projeto de API - TDC 2014 - Floripa - Trilha Arquitetura - 18/05/2014
Projeto de API - TDC 2014 - Floripa - Trilha Arquitetura - 18/05/2014
 
Projeto de API, por Gilmar P.S
Projeto de API, por Gilmar P.SProjeto de API, por Gilmar P.S
Projeto de API, por Gilmar P.S
 
Analise de SWOT - Parte 2
Analise de SWOT - Parte 2Analise de SWOT - Parte 2
Analise de SWOT - Parte 2
 
Web 2.0 Na Prática - Mario Costa - IBM
Web 2.0 Na Prática - Mario Costa - IBMWeb 2.0 Na Prática - Mario Costa - IBM
Web 2.0 Na Prática - Mario Costa - IBM
 
MKT Conversacional Reloaded
MKT Conversacional ReloadedMKT Conversacional Reloaded
MKT Conversacional Reloaded
 
Marketing Conversacional RELOADED
Marketing Conversacional RELOADEDMarketing Conversacional RELOADED
Marketing Conversacional RELOADED
 
E-Commerce 2010 - Apostila FGV
E-Commerce 2010 - Apostila FGVE-Commerce 2010 - Apostila FGV
E-Commerce 2010 - Apostila FGV
 
Métricas Para a Web 2.0
Métricas Para a Web 2.0Métricas Para a Web 2.0
Métricas Para a Web 2.0
 
TDC2017 | São Paulo - Trilha Finitech How we figured out we had a SRE team at...
TDC2017 | São Paulo - Trilha Finitech How we figured out we had a SRE team at...TDC2017 | São Paulo - Trilha Finitech How we figured out we had a SRE team at...
TDC2017 | São Paulo - Trilha Finitech How we figured out we had a SRE team at...
 
Inteligência nos Processos
Inteligência nos ProcessosInteligência nos Processos
Inteligência nos Processos
 
Filtro de SPAM
Filtro de SPAMFiltro de SPAM
Filtro de SPAM
 
Webinar Portal Colaborativo
Webinar Portal ColaborativoWebinar Portal Colaborativo
Webinar Portal Colaborativo
 
in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestores
 
Tecnologia Juridica
Tecnologia JuridicaTecnologia Juridica
Tecnologia Juridica
 

A Miopia do CSO por Jordan Bonagura