SlideShare uma empresa Scribd logo

(1) Por que Seguranca de Aplicacoes Web?

Eduardo Lanna
Eduardo Lanna

O documento discute a importância da segurança de aplicações web, destacando que: (1) Sistemas web sustentam operações de negócios e estão cada vez mais expostos; (2) Falhas de segurança em aplicações web representam grandes riscos financeiros e de reputação; (3) Ataques se concentram em aplicações web, onde estão as maiores vulnerabilidades.

Tecnologia
1 de 12
Baixar para ler offline
Slide Show nº 1 Por que se preocupar com a Segurança das Aplicações Web nos dias de hoje... Autor: Eduardo Lanna rev. 05/jan/11
Por que devemos nos preocupar? A inevitável evolução da tecnologia que move o mundo... Aplicações Web estão mais humanizadas e funcionais... Sistemas web são personalizados Plataformas: Java, PHP,.Net, XML... Normalização da tecnologia Padrões abertos, Web 2.0 Exposição de APIs Reutilização de componentes (SOAP) “Remote Scripting” (AJAX) Desacoplamento e Apresentação Slide 2/12
Por que devemos nos preocupar? Se Sistemas Web sustentam a operação do seu negócio... A operação do negócio é cada vez mais dependente de Sistemas automatizados... E Sistemas são expostos para acesso de parceiros e clientes pela Internet... Neste cenário dinâmico, cada vez mais aplicações e informações críticas estão na web a cada dia A velocidade de lançamentos de negócios na web supera os esforços com a segurança da informação... Mas segurança raramente é um requisito solicitado pela área de negócios... um erro que pode custar caro hoje em dia! Slide 3/12
Por que devemos nos preocupar? Pesquisas comprovam os riscos de falhas na segurança... 40% a 53% das vulnerabilidades identificadas entre 2006 e 2008 pelos fabricantes não haviam sido 100% resolvidas até o final de 2009! (IBM) Ocorrências de “Zero-Day Attack” representam riscos reais... No Brasil 13% das empresas que sofreram ataques tiveram prejuízos que passaram de R$ 1 Bilhão (Módulo, 2010) Mais da metade dos problemas de segurança na internet está relacionada às aplicações web (Gartner) Mais de 75% dos ataques ocorrem na camada da aplicação (Gartner 2009) Slide 4/12
Por que devemos nos preocupar? A raiz do problema está no desenvolvimento... Falta a incorporação de requisitos de segurança no processo de desenvolvimento das aplicações web: As Competências Técnicas do desenvolvedor priorizam os requisitos funcionais... Falta a cultura da segurança na equipe de desenvolvimento... O dilema “prazoXcusto” afeta a qualidade da entrega. O tema segurança acaba visto como problema da área de infraestrutura de TI... O custo da manutenção da segurança de aplicações em produção é até 10x mais cara!!! Slide 5/12
Por que Segurança de Aplicações Web? Mudança do alvo de ataques de hackers nos últimos anos A maior ocorrência de vulnerabilidades agora está aqui... Maiores Infraestrutura de TI: iniciativas ações consolidadas. Maiores Ambiente das Aplicações Web: ações incipientes. ameaças Mais de 20 categorias de vulnerabilidades... Slide 6/12
Por que Segurança de Aplicações Web? Ataques pela internet são uma ameaça real ... Hackers atacam preferencialmente aplicações web porque é lá que as vulnerabilidades mais exploráveis estão presentes. Crimes pela web oferecem menor risco e maior lucratividade... a Legislação Brasileira ainda é deficiente nesta área. Fazer negócio com segurança está se tornando obrigatório Diferentes indústrias criaram regulações como medida preventiva. A maioria das regulações seguem melhores práticas “de fato”: Basel II (BACEN 3.380) Mercado de Capitais – (SOx, Bovespa Nível II) PCI – Payment Card Industry Slide 7/12
Segurança de Aplicações Web OWASP Top 10 Most Critical Web Application Security Risk Fonte: http://www.owasp.org rev. Abril/2010 A lista Top 10 é dinâmica: ameaças A6 e A10 mudaram de posição em relação à pesquisa anterior da Open Web Application Security Project. Slide 8/12
Segurança de Aplicações Web Os diversos tipos de impacto causados por um ataque Acesso não autorizado a dados confidenciais e estratégicos; Roubo de informações e dados de Clientes; Interrupção/queda de desempenho do serviço; Fraudes e modificação de dados no fluxo das transações; Perdas financeiras diretas e indiretas; Prejuízos à marca e imagem da empresa; Perda da confiança e lealdade dos Clientes; Aumento de gastos com ações de segurança reativas, pós ataque! Slide 9/12
Segurança de Aplicações Web Função do risco de ataque a um Sistema e suas variáveis ? ? (agente malicioso + vulnerabilidade + padrão de ataque) Fonte: www.owasp.org Para mitigar riscos... esteja sempre à frente das ameaças!!!! (Gartner) Identificar as vulnerabilidades permite antecipa-se ao risco de ataques!!! Gerenciá-las cria um ciclo de monitoramento e de melhoria contínuos... Slide 10/12
Segurança de Aplicações Web Quem deve se preocupar com Segurança na Internet? Setor Financeiro: Bancos e Corretoras; Seguradoras e diversos Serviços pela Internet; e-Commerce: plataformas de tecnologia para Lojas Virtuais; Fábricas de Software e Sistemas Corporativos (ERP, RH, etc). Empresas obrigadas a conformidade com regulamentações: BACEN, SOx, PCI-DSS, HIPPA, etc. Grandes Marcas com negócios expostos na internet; Empresas com ações na Bolsa (Governança de TI); Provedores de serviços de infra-estrutura de Data Centers; Segmento Governo: plataformas de Serviços Públicos; Slide 11/12
Departamento Comercial Tel: +55 (11) 3044-1819 e-mail: contato@redesegura.com.br visite: www.redesegura.com.br Veja também nossa apresentação sobre o Processo de Gerenciamento de Vulnerabilidades... Autor: Eduardo Lanna

Recomendados

Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Segurança da informação10 dezembro
Segurança da informação10 dezembroSegurança da informação10 dezembro
Segurança da informação10 dezembroTiago Jose
 
Segurança em Sistemas SCADA
Segurança em Sistemas SCADASegurança em Sistemas SCADA
Segurança em Sistemas SCADAAlexandre Freire
 
Relatório IBM X-Force ameaças e tendências de riscos
Relatório IBM X-Force ameaças e tendências de riscos Relatório IBM X-Force ameaças e tendências de riscos
Relatório IBM X-Force ameaças e tendências de riscos Alexandre Freire
 
IBM Mobile First Security
IBM Mobile First SecurityIBM Mobile First Security
IBM Mobile First SecurityAlexandre Freire
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Oficina do Texto Assessoria de Comunicação
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoDanilo Alves
 

Recomendados

Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Segurança da informação10 dezembro
Segurança da informação10 dezembroSegurança da informação10 dezembro
Segurança da informação10 dezembroTiago Jose
 
Segurança em Sistemas SCADA
Segurança em Sistemas SCADASegurança em Sistemas SCADA
Segurança em Sistemas SCADAAlexandre Freire
 
Relatório IBM X-Force ameaças e tendências de riscos
Relatório IBM X-Force ameaças e tendências de riscos Relatório IBM X-Force ameaças e tendências de riscos
Relatório IBM X-Force ameaças e tendências de riscos Alexandre Freire
 
IBM Mobile First Security
IBM Mobile First SecurityIBM Mobile First Security
IBM Mobile First SecurityAlexandre Freire
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Oficina do Texto Assessoria de Comunicação
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoDanilo Alves
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreiraAntar Ferreira
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 
Jose
JoseJose
Joseleiry rodrigues
 
Artigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCryArtigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCryTI Safe
 
Segurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraSegurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraVinícius Schmidt
 
UFF Tech 2013 - Segurança no Cloud - Álvaro Teófilo, Produban (Banco Santander)
UFF Tech 2013 - Segurança no Cloud - Álvaro Teófilo, Produban (Banco Santander)UFF Tech 2013 - Segurança no Cloud - Álvaro Teófilo, Produban (Banco Santander)
UFF Tech 2013 - Segurança no Cloud - Álvaro Teófilo, Produban (Banco Santander)Sti Uff
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
 
Seguranca em aplicacoes web
Seguranca em aplicacoes webSeguranca em aplicacoes web
Seguranca em aplicacoes webData Security
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-StalkerEduardo Lanna
 
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...TI Safe
 
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...TI Safe
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Alcyon Ferreira de Souza Junior, MSc
 
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...TI Safe
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Edson Aguilera-Fernandes
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoTI Safe
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)TI Safe
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebKeySupport Consultoria e Informática Ltda
 

Mais conteúdo relacionado

Mais procurados

Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 
Artigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCryArtigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCryTI Safe
 
Segurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraSegurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraVinícius Schmidt
 
UFF Tech 2013 - Segurança no Cloud - Álvaro Teófilo, Produban (Banco Santander)
UFF Tech 2013 - Segurança no Cloud - Álvaro Teófilo, Produban (Banco Santander)UFF Tech 2013 - Segurança no Cloud - Álvaro Teófilo, Produban (Banco Santander)
UFF Tech 2013 - Segurança no Cloud - Álvaro Teófilo, Produban (Banco Santander)Sti Uff
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
 
Seguranca em aplicacoes web
Seguranca em aplicacoes webSeguranca em aplicacoes web
Seguranca em aplicacoes webData Security
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-StalkerEduardo Lanna
 
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...TI Safe
 
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...TI Safe
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...TI Safe
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Edson Aguilera-Fernandes
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoTI Safe
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)TI Safe
 

Mais procurados (19)

Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
 
Jose
JoseJose
Jose
 
Artigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCryArtigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCry
 
Segurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraSegurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - Dextra
 
UFF Tech 2013 - Segurança no Cloud - Álvaro Teófilo, Produban (Banco Santander)
UFF Tech 2013 - Segurança no Cloud - Álvaro Teófilo, Produban (Banco Santander)UFF Tech 2013 - Segurança no Cloud - Álvaro Teófilo, Produban (Banco Santander)
UFF Tech 2013 - Segurança no Cloud - Álvaro Teófilo, Produban (Banco Santander)
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
 
Seguranca em aplicacoes web
Seguranca em aplicacoes webSeguranca em aplicacoes web
Seguranca em aplicacoes web
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker
 
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
 
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
 
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo Branquinho
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
 

Semelhante a (1) Por que Seguranca de Aplicacoes Web?

Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Alex Hübner
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDércio Luiz Reis
 
Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec Brasil
 
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialPalestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialTI Safe
 
Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoISH Tecnologia
 
Be Aware Webinar - Malwares Multiplataformas
Be Aware Webinar - Malwares MultiplataformasBe Aware Webinar - Malwares Multiplataformas
Be Aware Webinar - Malwares MultiplataformasSymantec Brasil
 
Segurança em um Planeta Inteligente
Segurança em um Planeta InteligenteSegurança em um Planeta Inteligente
Segurança em um Planeta InteligenteAlexandre Freire
 
Estategia IBM Security para mercado financeiro
Estategia IBM Security para mercado financeiroEstategia IBM Security para mercado financeiro
Estategia IBM Security para mercado financeiroAlexandre Freire
 
Executive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca MainframeExecutive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca MainframeMarcos Carvalho
 
Os maiores riscos de segurança
Os maiores riscos de segurançaOs maiores riscos de segurança
Os maiores riscos de segurançaYuri Dantas
 
10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerceSite Blindado S.A.
 

Semelhante a (1) Por que Seguranca de Aplicacoes Web? (20)

Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
MTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento SeguroMTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento Seguro
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web Seguras
 
Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1
 
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialPalestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
 
Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informação
 
Be Aware Webinar - Malwares Multiplataformas
Be Aware Webinar - Malwares MultiplataformasBe Aware Webinar - Malwares Multiplataformas
Be Aware Webinar - Malwares Multiplataformas
 
2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de Segurança2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de Segurança
 
Trend micro
Trend microTrend micro
Trend micro
 
Segurança em um Planeta Inteligente
Segurança em um Planeta InteligenteSegurança em um Planeta Inteligente
Segurança em um Planeta Inteligente
 
(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker
 
Estategia IBM Security para mercado financeiro
Estategia IBM Security para mercado financeiroEstategia IBM Security para mercado financeiro
Estategia IBM Security para mercado financeiro
 
Executive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca MainframeExecutive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca Mainframe
 
Os maiores riscos de segurança
Os maiores riscos de segurançaOs maiores riscos de segurança
Os maiores riscos de segurança
 
10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce
 
Road Show - Arcsight ETRM
Road Show - Arcsight ETRMRoad Show - Arcsight ETRM
Road Show - Arcsight ETRM
 

(1) Por que Seguranca de Aplicacoes Web?

  • 1. Slide Show nº 1 Por que se preocupar com a Segurança das Aplicações Web nos dias de hoje... Autor: Eduardo Lanna rev. 05/jan/11
  • 2. Por que devemos nos preocupar? A inevitável evolução da tecnologia que move o mundo... Aplicações Web estão mais humanizadas e funcionais... Sistemas web são personalizados Plataformas: Java, PHP,.Net, XML... Normalização da tecnologia Padrões abertos, Web 2.0 Exposição de APIs Reutilização de componentes (SOAP) “Remote Scripting” (AJAX) Desacoplamento e Apresentação Slide 2/12
  • 3. Por que devemos nos preocupar? Se Sistemas Web sustentam a operação do seu negócio... A operação do negócio é cada vez mais dependente de Sistemas automatizados... E Sistemas são expostos para acesso de parceiros e clientes pela Internet... Neste cenário dinâmico, cada vez mais aplicações e informações críticas estão na web a cada dia A velocidade de lançamentos de negócios na web supera os esforços com a segurança da informação... Mas segurança raramente é um requisito solicitado pela área de negócios... um erro que pode custar caro hoje em dia! Slide 3/12
  • 4. Por que devemos nos preocupar? Pesquisas comprovam os riscos de falhas na segurança... 40% a 53% das vulnerabilidades identificadas entre 2006 e 2008 pelos fabricantes não haviam sido 100% resolvidas até o final de 2009! (IBM) Ocorrências de “Zero-Day Attack” representam riscos reais... No Brasil 13% das empresas que sofreram ataques tiveram prejuízos que passaram de R$ 1 Bilhão (Módulo, 2010) Mais da metade dos problemas de segurança na internet está relacionada às aplicações web (Gartner) Mais de 75% dos ataques ocorrem na camada da aplicação (Gartner 2009) Slide 4/12
  • 5. Por que devemos nos preocupar? A raiz do problema está no desenvolvimento... Falta a incorporação de requisitos de segurança no processo de desenvolvimento das aplicações web: As Competências Técnicas do desenvolvedor priorizam os requisitos funcionais... Falta a cultura da segurança na equipe de desenvolvimento... O dilema “prazoXcusto” afeta a qualidade da entrega. O tema segurança acaba visto como problema da área de infraestrutura de TI... O custo da manutenção da segurança de aplicações em produção é até 10x mais cara!!! Slide 5/12
  • 6. Por que Segurança de Aplicações Web? Mudança do alvo de ataques de hackers nos últimos anos A maior ocorrência de vulnerabilidades agora está aqui... Maiores Infraestrutura de TI: iniciativas ações consolidadas. Maiores Ambiente das Aplicações Web: ações incipientes. ameaças Mais de 20 categorias de vulnerabilidades... Slide 6/12
  • 7. Por que Segurança de Aplicações Web? Ataques pela internet são uma ameaça real ... Hackers atacam preferencialmente aplicações web porque é lá que as vulnerabilidades mais exploráveis estão presentes. Crimes pela web oferecem menor risco e maior lucratividade... a Legislação Brasileira ainda é deficiente nesta área. Fazer negócio com segurança está se tornando obrigatório Diferentes indústrias criaram regulações como medida preventiva. A maioria das regulações seguem melhores práticas “de fato”: Basel II (BACEN 3.380) Mercado de Capitais – (SOx, Bovespa Nível II) PCI – Payment Card Industry Slide 7/12
  • 8. Segurança de Aplicações Web OWASP Top 10 Most Critical Web Application Security Risk Fonte: http://www.owasp.org rev. Abril/2010 A lista Top 10 é dinâmica: ameaças A6 e A10 mudaram de posição em relação à pesquisa anterior da Open Web Application Security Project. Slide 8/12
  • 9. Segurança de Aplicações Web Os diversos tipos de impacto causados por um ataque Acesso não autorizado a dados confidenciais e estratégicos; Roubo de informações e dados de Clientes; Interrupção/queda de desempenho do serviço; Fraudes e modificação de dados no fluxo das transações; Perdas financeiras diretas e indiretas; Prejuízos à marca e imagem da empresa; Perda da confiança e lealdade dos Clientes; Aumento de gastos com ações de segurança reativas, pós ataque! Slide 9/12
  • 10. Segurança de Aplicações Web Função do risco de ataque a um Sistema e suas variáveis ? ? (agente malicioso + vulnerabilidade + padrão de ataque) Fonte: www.owasp.org Para mitigar riscos... esteja sempre à frente das ameaças!!!! (Gartner) Identificar as vulnerabilidades permite antecipa-se ao risco de ataques!!! Gerenciá-las cria um ciclo de monitoramento e de melhoria contínuos... Slide 10/12
  • 11. Segurança de Aplicações Web Quem deve se preocupar com Segurança na Internet? Setor Financeiro: Bancos e Corretoras; Seguradoras e diversos Serviços pela Internet; e-Commerce: plataformas de tecnologia para Lojas Virtuais; Fábricas de Software e Sistemas Corporativos (ERP, RH, etc). Empresas obrigadas a conformidade com regulamentações: BACEN, SOx, PCI-DSS, HIPPA, etc. Grandes Marcas com negócios expostos na internet; Empresas com ações na Bolsa (Governança de TI); Provedores de serviços de infra-estrutura de Data Centers; Segmento Governo: plataformas de Serviços Públicos; Slide 11/12
  • 12. Departamento Comercial Tel: +55 (11) 3044-1819 e-mail: contato@redesegura.com.br visite: www.redesegura.com.br Veja também nossa apresentação sobre o Processo de Gerenciamento de Vulnerabilidades... Autor: Eduardo Lanna