SlideShare uma empresa Scribd logo
A Segurança Técnica como Base para os
Processos de Gestão de Riscos
Eduardo Vianna de Camargo Neves, CISSP
Gerente de Operações
quebrando paradigmas
A maior causa das falhas de
segurança é o usuário interno
75% dos vazamentos de dados foram
  executados por ameaças externas
em múltiplas combinações de eventos
2008 Verizon Data Breach Investigations Report
Uma Política de Segurança é a
chave para a gestão de riscos
Instituições financeiras que
operam nos EUA estão aderentes
             ao SOX
Ocorrências derivadas da falta de
    controles técnicos de segurança

 Pontos de Auditoria                                       Segurança de Bancos de Dados

                                                           Desconheci                Inseguros
                                                                                                                           Maioria
                                                               do                       4%
   Controle de acesso                                                                                                     adequada
                                                              15%
                                                                                                                            40%

        User Cleaning


                    Logs


Segregação de funções                                    Poucos
                                                       adequados
                                                          13%
Excesso de privilégios
                                                                                           Parte
                                                                                         adequada
                           0%    10% 20% 30% 40% 50%                                       28%

  Fonte: DTT 2007 Global Security Survey               Fonte: IOUG Enterprise Data Insecurity: Are Organizations Prepared for the
                                                       Threat From Within?
Resultados derivados da falta de
     controles técnicos de segurança

 Perda de Receita por Fraude On Line                   Empresa             Evento                  Impacto

$4,000,000,000
                                                                    40 milhões de contas
                                                                                               Perda de 95% da
$3,500,000,000                                        CardSystems    acessadas por um
                                                                                                    receita
                                                                          cracker
$3,000,000,000
                                                                    Código de video game     Atraso de 6 meses no
$2,500,000,000                                           Valve
                                                                           furtado                lançamento
$2,000,000,000
                                                                      Base de dados de
                                                                                             Redução no preço de
$1,500,000,000                                           DSW        clientes acessada por
                                                                                              venda durante IPO
                                                                         um cracker
$1,000,000,000
                                                                      Coleta de dados
                                                                                            Pedido de falência após
 $500,000,000                                         Pharmatrak       pessoais sem
                                                                                                  processos
                                                                        autorização
              $0
                                                                     Sistema de booking
                                                                                            Prejuízos diretos de US
                                                        Comair      falhou na véspera do
                                                                                                 $ 20 milhões
                                                                        Natal de 2004
  Fonte: Cybersource 9th Annual Online Fraud Report
App Sucesu 07out08
Estabelecimento do Modelo de
Proteção
Estabelecimento do Modelo de
Proteção
Estabelecimento do Modelo de
Proteção
Estabelecimento do Modelo de
Proteção
Estabelecimento do Modelo de
Proteção
Algumas recomendações


•  Administrar o escopo técnico do seu Ambiente Informatizado

•  Capacitar a sua equipe de forma equilibrada

•  Implementar a gestão de segurança por camadas

•  Administrar os controles de forma integrada
App Sucesu 07out08
Alguns recursos para capacitação e
suporte à gestão

•  Listas de Discussão

•  Ferramentas Open Source

•  OWASP (Open Web Application Security Project)

•  NIST (National Institute of Standards and Technology)

•  ISSA (International Systems Security Association)
Como se envolver?


•  ISSA Brasil Sul
   •  regionalsul@issabrasil.org

•  OWASP Brasil
   •  eduardo.neves@owasp.org




                                   OWASP
                                   The Open Web Application Security Project
Obrigado pela sua presença

Mais conteúdo relacionado

Destaque

YP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCHYP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCH
marco678
 
How To A Simple Wound
How To A Simple WoundHow To A Simple Wound
How To A Simple Wound
mmathis1663
 
My Epicureal Evolution
My Epicureal EvolutionMy Epicureal Evolution
My Epicureal Evolution
Neo_platonist
 
YP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCHYP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCH
marco678
 
Procesadores Y Zocalos
Procesadores Y ZocalosProcesadores Y Zocalos
Procesadores Y Zocalos
bri4n
 
Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...
Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...
Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...
Yefersson Toledo
 
Pamplona 6 con foto apuntes
Pamplona 6 con foto   apuntesPamplona 6 con foto   apuntes
Pamplona 6 con foto apuntes
Pamplona Televisión
 
Salão do Livro em Foz do Iguaçu
Salão do Livro em Foz do IguaçuSalão do Livro em Foz do Iguaçu
Salão do Livro em Foz do Iguaçu
Giseli Paiva
 
Certificados ThinkQuest
Certificados ThinkQuestCertificados ThinkQuest
Certificados ThinkQuest
EEM Dr. Romão Sampaio
 
Semiótica del internet
Semiótica del internetSemiótica del internet
Semiótica del internet
jaimeesanchez
 
Actividade integradora
Actividade integradoraActividade integradora
Actividade integradora
becrecv
 
Clube
ClubeClube
Clube
Biblioteia
 
Case Study FullSIX - Eurostar New London (EN / FR)
Case Study FullSIX - Eurostar New London (EN / FR)Case Study FullSIX - Eurostar New London (EN / FR)
Case Study FullSIX - Eurostar New London (EN / FR)
FullSIX Group
 
Auditoria Beca Centro Occidente C.A.
Auditoria Beca Centro Occidente C.A.Auditoria Beca Centro Occidente C.A.
Auditoria Beca Centro Occidente C.A.
Luis Castro
 
Inovação e desenvolvimento
Inovação e desenvolvimento  Inovação e desenvolvimento
Inovação e desenvolvimento
Université Paris-Dauphine
 
Epoca precolombina
Epoca precolombinaEpoca precolombina
Epoca precolombina
'Gomi Montoya
 
Jogos e Música
Jogos e MúsicaJogos e Música
Jogos e Música
André Pase
 
Fotos Històriques de Tarragona Segle XX
Fotos Històriques de Tarragona Segle XXFotos Històriques de Tarragona Segle XX
Fotos Històriques de Tarragona Segle XX
Vitalitat
 

Destaque (19)

YP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCHYP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCH
 
22 10
22 1022 10
22 10
 
How To A Simple Wound
How To A Simple WoundHow To A Simple Wound
How To A Simple Wound
 
My Epicureal Evolution
My Epicureal EvolutionMy Epicureal Evolution
My Epicureal Evolution
 
YP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCHYP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCH
 
Procesadores Y Zocalos
Procesadores Y ZocalosProcesadores Y Zocalos
Procesadores Y Zocalos
 
Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...
Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...
Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...
 
Pamplona 6 con foto apuntes
Pamplona 6 con foto   apuntesPamplona 6 con foto   apuntes
Pamplona 6 con foto apuntes
 
Salão do Livro em Foz do Iguaçu
Salão do Livro em Foz do IguaçuSalão do Livro em Foz do Iguaçu
Salão do Livro em Foz do Iguaçu
 
Certificados ThinkQuest
Certificados ThinkQuestCertificados ThinkQuest
Certificados ThinkQuest
 
Semiótica del internet
Semiótica del internetSemiótica del internet
Semiótica del internet
 
Actividade integradora
Actividade integradoraActividade integradora
Actividade integradora
 
Clube
ClubeClube
Clube
 
Case Study FullSIX - Eurostar New London (EN / FR)
Case Study FullSIX - Eurostar New London (EN / FR)Case Study FullSIX - Eurostar New London (EN / FR)
Case Study FullSIX - Eurostar New London (EN / FR)
 
Auditoria Beca Centro Occidente C.A.
Auditoria Beca Centro Occidente C.A.Auditoria Beca Centro Occidente C.A.
Auditoria Beca Centro Occidente C.A.
 
Inovação e desenvolvimento
Inovação e desenvolvimento  Inovação e desenvolvimento
Inovação e desenvolvimento
 
Epoca precolombina
Epoca precolombinaEpoca precolombina
Epoca precolombina
 
Jogos e Música
Jogos e MúsicaJogos e Música
Jogos e Música
 
Fotos Històriques de Tarragona Segle XX
Fotos Històriques de Tarragona Segle XXFotos Històriques de Tarragona Segle XX
Fotos Històriques de Tarragona Segle XX
 

Mais de Conviso Application Security

Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
Conviso Application Security
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de software
Conviso Application Security
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Conviso Application Security
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking
Conviso Application Security
 
Building Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesBuilding Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 Features
Conviso Application Security
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
Conviso Application Security
 
Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!
Conviso Application Security
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
Conviso Application Security
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações Web
Conviso Application Security
 
Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?
Conviso Application Security
 
Pentest em Aplicações Móveis
Pentest em Aplicações MóveisPentest em Aplicações Móveis
Pentest em Aplicações Móveis
Conviso Application Security
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
Conviso Application Security
 
HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?
Conviso Application Security
 
Threats from economical improvement rss 2010
Threats from economical improvement rss 2010Threats from economical improvement rss 2010
Threats from economical improvement rss 2010
Conviso Application Security
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
Conviso Application Security
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flash
Conviso Application Security
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Conviso Application Security
 
Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009
Conviso Application Security
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
Conviso Application Security
 
Abotoaduras & Bonés
Abotoaduras & BonésAbotoaduras & Bonés
Abotoaduras & Bonés
Conviso Application Security
 

Mais de Conviso Application Security (20)

Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de software
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking
 
Building Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesBuilding Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 Features
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações Web
 
Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?
 
Pentest em Aplicações Móveis
Pentest em Aplicações MóveisPentest em Aplicações Móveis
Pentest em Aplicações Móveis
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
 
HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?
 
Threats from economical improvement rss 2010
Threats from economical improvement rss 2010Threats from economical improvement rss 2010
Threats from economical improvement rss 2010
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flash
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
 
Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
 
Abotoaduras & Bonés
Abotoaduras & BonésAbotoaduras & Bonés
Abotoaduras & Bonés
 

App Sucesu 07out08

  • 1. A Segurança Técnica como Base para os Processos de Gestão de Riscos Eduardo Vianna de Camargo Neves, CISSP Gerente de Operações
  • 3. A maior causa das falhas de segurança é o usuário interno
  • 4. 75% dos vazamentos de dados foram executados por ameaças externas em múltiplas combinações de eventos 2008 Verizon Data Breach Investigations Report
  • 5. Uma Política de Segurança é a chave para a gestão de riscos
  • 6. Instituições financeiras que operam nos EUA estão aderentes ao SOX
  • 7. Ocorrências derivadas da falta de controles técnicos de segurança Pontos de Auditoria Segurança de Bancos de Dados Desconheci Inseguros Maioria do 4% Controle de acesso adequada 15% 40% User Cleaning Logs Segregação de funções Poucos adequados 13% Excesso de privilégios Parte adequada 0% 10% 20% 30% 40% 50% 28% Fonte: DTT 2007 Global Security Survey Fonte: IOUG Enterprise Data Insecurity: Are Organizations Prepared for the Threat From Within?
  • 8. Resultados derivados da falta de controles técnicos de segurança Perda de Receita por Fraude On Line Empresa Evento Impacto $4,000,000,000 40 milhões de contas Perda de 95% da $3,500,000,000 CardSystems acessadas por um receita cracker $3,000,000,000 Código de video game Atraso de 6 meses no $2,500,000,000 Valve furtado lançamento $2,000,000,000 Base de dados de Redução no preço de $1,500,000,000 DSW clientes acessada por venda durante IPO um cracker $1,000,000,000 Coleta de dados Pedido de falência após $500,000,000 Pharmatrak pessoais sem processos autorização $0 Sistema de booking Prejuízos diretos de US Comair falhou na véspera do $ 20 milhões Natal de 2004 Fonte: Cybersource 9th Annual Online Fraud Report
  • 10. Estabelecimento do Modelo de Proteção
  • 11. Estabelecimento do Modelo de Proteção
  • 12. Estabelecimento do Modelo de Proteção
  • 13. Estabelecimento do Modelo de Proteção
  • 14. Estabelecimento do Modelo de Proteção
  • 15. Algumas recomendações •  Administrar o escopo técnico do seu Ambiente Informatizado •  Capacitar a sua equipe de forma equilibrada •  Implementar a gestão de segurança por camadas •  Administrar os controles de forma integrada
  • 17. Alguns recursos para capacitação e suporte à gestão •  Listas de Discussão •  Ferramentas Open Source •  OWASP (Open Web Application Security Project) •  NIST (National Institute of Standards and Technology) •  ISSA (International Systems Security Association)
  • 18. Como se envolver? •  ISSA Brasil Sul •  regionalsul@issabrasil.org •  OWASP Brasil •  eduardo.neves@owasp.org OWASP The Open Web Application Security Project
  • 19. Obrigado pela sua presença