SlideShare uma empresa Scribd logo
Como transformar abotoaduras em bonés
       Por que os gestores devem valorizar os controles técnicos de segurança

       Eduardo Vianna de Camargo Neves
       Gerente de Operações, Conviso IT Security
       www.conviso.com.br


Saturday, June 20, 2009
Sobre esta Apresentação


                          •   Discussão aberta

                          •   Posicionamento pessoal

                          •   Troca de experiências

                          •   Busca de soluções




           Conviso IT Security                        2   You Shot the Sheriff 2009
Saturday, June 20, 2009
O Grande Motivador




           Conviso IT Security       3   You Shot the Sheriff 2009
Saturday, June 20, 2009
O Grande Motivador




           Conviso IT Security       4   You Shot the Sheriff 2009
Saturday, June 20, 2009
O Grande Motivador




           Conviso IT Security       5   You Shot the Sheriff 2009
Saturday, June 20, 2009
Mas quais são os resultados?




           Conviso IT Security       6         You Shot the Sheriff 2009
Saturday, June 20, 2009
Controles Técnicos fundamentam a segurança


                          •   Políticas de Segurança x Security Policies

                          •   Classificação de Segurança x RBAC

                          •   Sensitivity Labeling x Criptografia

                          •   Secure Development Life Cycle x Patching




           Conviso IT Security                        7              You Shot the Sheriff 2009
Saturday, June 20, 2009
Porém ....


                   •      Heartland Payment Systems Informações de
                          cartões de créditos acessadas por crackers

                   •      JFY Networks Website crackeado expõe nomes,
                          endereços e social security numbers de clientes

                   •      Telefonica Problemas de instabilidade na rede de
                          dados causados por ataques externos que
                          comprometeram os DNS




           Conviso IT Security                   8             You Shot the Sheriff 2009
Saturday, June 20, 2009
Porém ....


                   •      Verizon 2009 Data Breach Investigations Report

                          •   67% facilitadas por erros significativos

                          •   83% foram resultantes de ataques sem
                              complexidade

                          •   87% poderiam ter sido evitadas através de
                              controles simples




           Conviso IT Security                        9                 You Shot the Sheriff 2009
Saturday, June 20, 2009
Mas por que isso acontece?




           Conviso IT Security      10       You Shot the Sheriff 2009
Saturday, June 20, 2009
Como é a rotina típica de um CSO?


                          •   Burocracia é parte do processo

                          •   Valor Agregado

                          •   Metas arrojadas (indecentes?)

                          •   Equipe mal dimensionada




           Conviso IT Security                      11         You Shot the Sheriff 2009
Saturday, June 20, 2009
Qual é o resultado?


                          •   Alocação de tempo

                          •   Auditoria x Controles Eficazes

                          •   Mudança nas competências

                          •   Meta para muita gente?




           Conviso IT Security                         12     You Shot the Sheriff 2009
Saturday, June 20, 2009
Meus 5 cents




           Conviso IT Security   13   You Shot the Sheriff 2009
Saturday, June 20, 2009
Meus 5 cents



         •       Conhecimento agregado, sempre

         •       Controles técnicos fundamentam o GRC

         •       Pense em como o seu tempo está alocado

         •       Existe carreira em Y, acredite

         •       Não esqueça a abotoadura, mas lembre-se de quando
                 você usava boné



  Conviso IT Security                        14           You Shot the Sheriff 2009
Saturday, June 20, 2009
Lembre-se, não é necessário usar uma
                 abotoadura para ser um bom profissional




           Conviso IT Security       15        You Shot the Sheriff 2009
Saturday, June 20, 2009
Lembre-se, não é necessário usar uma
                 abotoadura para ser um bom profissional




           Conviso IT Security       16        You Shot the Sheriff 2009
Saturday, June 20, 2009
Como transformar abotoaduras em bonés
       Por que os gestores devem valorizar os controles técnicos de segurança

       Eduardo Vianna de Camargo Neves
       Gerente de Operações, Conviso IT Security
       www.conviso.com.br


Saturday, June 20, 2009
Referências


                   •      Dados sobre incidentes em

                   •      2009 Data Breach Investigations Report em http://
                          securityblog.verizonbusiness.com

                   •      Instabilidade na Telefonica em http://
                          www.convergenciadigital.com.br/cgi/cgilua.exe/sys/
                          start.htm?infoid=19081&sid=18




           Conviso IT Security                     18             You Shot the Sheriff 2009
Saturday, June 20, 2009

Mais conteúdo relacionado

Semelhante a Abotoaduras & Bonés

in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestores
Rodrigo Jorge
 
Estamos levando a Segurança da Informação a sério?
Estamos levando a Segurança da Informação a sério?Estamos levando a Segurança da Informação a sério?
Estamos levando a Segurança da Informação a sério?
Vitor Melo
 
Estategia IBM Security para mercado financeiro
Estategia IBM Security para mercado financeiroEstategia IBM Security para mercado financeiro
Estategia IBM Security para mercado financeiro
Alexandre Freire
 
Por quê o software continua inseguro?
Por quê o software continua inseguro?Por quê o software continua inseguro?
Por quê o software continua inseguro?
Vinicius Oliveira Ferreira
 
Segurança de Software
Segurança de SoftwareSegurança de Software
Segurança de Software
Alexandre Siqueira
 
Transforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovaçãoTransforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovação
Cisco do Brasil
 
Monitoramento inteligente de segurança
Monitoramento inteligente de segurança Monitoramento inteligente de segurança
Monitoramento inteligente de segurança
Alexandre Chaves
 
Apresentação GVTech
Apresentação GVTechApresentação GVTech
Apresentação GVTech
DeServ - Tecnologia e Servços
 
Pedro Minatel-segurança em iot
Pedro Minatel-segurança em iotPedro Minatel-segurança em iot
Pedro Minatel-segurança em iot
Allef Anderson
 
Doingcast campus party 2014
Doingcast campus party 2014Doingcast campus party 2014
Doingcast campus party 2014
Doingcast
 
Sistemas da informação segurança da informação
Sistemas da informação   segurança da informaçãoSistemas da informação   segurança da informação
Sistemas da informação segurança da informação
Fernando Gomes Chaves
 
Apostila - Aspectos Técnicos de Segurança para eCommerce
Apostila - Aspectos Técnicos de Segurança para eCommerceApostila - Aspectos Técnicos de Segurança para eCommerce
Apostila - Aspectos Técnicos de Segurança para eCommerce
E-Commerce Brasil
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Clavis Segurança da Informação
 
Monitoramento
MonitoramentoMonitoramento
Monitoramento
Julio Cesar Camargo
 

Semelhante a Abotoaduras & Bonés (14)

in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestores
 
Estamos levando a Segurança da Informação a sério?
Estamos levando a Segurança da Informação a sério?Estamos levando a Segurança da Informação a sério?
Estamos levando a Segurança da Informação a sério?
 
Estategia IBM Security para mercado financeiro
Estategia IBM Security para mercado financeiroEstategia IBM Security para mercado financeiro
Estategia IBM Security para mercado financeiro
 
Por quê o software continua inseguro?
Por quê o software continua inseguro?Por quê o software continua inseguro?
Por quê o software continua inseguro?
 
Segurança de Software
Segurança de SoftwareSegurança de Software
Segurança de Software
 
Transforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovaçãoTransforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovação
 
Monitoramento inteligente de segurança
Monitoramento inteligente de segurança Monitoramento inteligente de segurança
Monitoramento inteligente de segurança
 
Apresentação GVTech
Apresentação GVTechApresentação GVTech
Apresentação GVTech
 
Pedro Minatel-segurança em iot
Pedro Minatel-segurança em iotPedro Minatel-segurança em iot
Pedro Minatel-segurança em iot
 
Doingcast campus party 2014
Doingcast campus party 2014Doingcast campus party 2014
Doingcast campus party 2014
 
Sistemas da informação segurança da informação
Sistemas da informação   segurança da informaçãoSistemas da informação   segurança da informação
Sistemas da informação segurança da informação
 
Apostila - Aspectos Técnicos de Segurança para eCommerce
Apostila - Aspectos Técnicos de Segurança para eCommerceApostila - Aspectos Técnicos de Segurança para eCommerce
Apostila - Aspectos Técnicos de Segurança para eCommerce
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
 
Monitoramento
MonitoramentoMonitoramento
Monitoramento
 

Mais de Conviso Application Security

Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
Conviso Application Security
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de software
Conviso Application Security
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Conviso Application Security
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking
Conviso Application Security
 
Building Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesBuilding Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 Features
Conviso Application Security
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
Conviso Application Security
 
Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!
Conviso Application Security
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
Conviso Application Security
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações Web
Conviso Application Security
 
Pentest em Aplicações Móveis
Pentest em Aplicações MóveisPentest em Aplicações Móveis
Pentest em Aplicações Móveis
Conviso Application Security
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
Conviso Application Security
 
HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?
Conviso Application Security
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
Conviso Application Security
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flash
Conviso Application Security
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Conviso Application Security
 
Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009
Conviso Application Security
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
Conviso Application Security
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
Conviso Application Security
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
Conviso Application Security
 

Mais de Conviso Application Security (20)

Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de software
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking
 
Building Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesBuilding Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 Features
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações Web
 
Pentest em Aplicações Móveis
Pentest em Aplicações MóveisPentest em Aplicações Móveis
Pentest em Aplicações Móveis
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
 
HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flash
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
 
Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
 
Extreme Web Hacking - h2hc 2008
Extreme Web Hacking - h2hc 2008Extreme Web Hacking - h2hc 2008
Extreme Web Hacking - h2hc 2008
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 

Abotoaduras & Bonés

  • 1. Como transformar abotoaduras em bonés Por que os gestores devem valorizar os controles técnicos de segurança Eduardo Vianna de Camargo Neves Gerente de Operações, Conviso IT Security www.conviso.com.br Saturday, June 20, 2009
  • 2. Sobre esta Apresentação • Discussão aberta • Posicionamento pessoal • Troca de experiências • Busca de soluções Conviso IT Security 2 You Shot the Sheriff 2009 Saturday, June 20, 2009
  • 3. O Grande Motivador Conviso IT Security 3 You Shot the Sheriff 2009 Saturday, June 20, 2009
  • 4. O Grande Motivador Conviso IT Security 4 You Shot the Sheriff 2009 Saturday, June 20, 2009
  • 5. O Grande Motivador Conviso IT Security 5 You Shot the Sheriff 2009 Saturday, June 20, 2009
  • 6. Mas quais são os resultados? Conviso IT Security 6 You Shot the Sheriff 2009 Saturday, June 20, 2009
  • 7. Controles Técnicos fundamentam a segurança • Políticas de Segurança x Security Policies • Classificação de Segurança x RBAC • Sensitivity Labeling x Criptografia • Secure Development Life Cycle x Patching Conviso IT Security 7 You Shot the Sheriff 2009 Saturday, June 20, 2009
  • 8. Porém .... • Heartland Payment Systems Informações de cartões de créditos acessadas por crackers • JFY Networks Website crackeado expõe nomes, endereços e social security numbers de clientes • Telefonica Problemas de instabilidade na rede de dados causados por ataques externos que comprometeram os DNS Conviso IT Security 8 You Shot the Sheriff 2009 Saturday, June 20, 2009
  • 9. Porém .... • Verizon 2009 Data Breach Investigations Report • 67% facilitadas por erros significativos • 83% foram resultantes de ataques sem complexidade • 87% poderiam ter sido evitadas através de controles simples Conviso IT Security 9 You Shot the Sheriff 2009 Saturday, June 20, 2009
  • 10. Mas por que isso acontece? Conviso IT Security 10 You Shot the Sheriff 2009 Saturday, June 20, 2009
  • 11. Como é a rotina típica de um CSO? • Burocracia é parte do processo • Valor Agregado • Metas arrojadas (indecentes?) • Equipe mal dimensionada Conviso IT Security 11 You Shot the Sheriff 2009 Saturday, June 20, 2009
  • 12. Qual é o resultado? • Alocação de tempo • Auditoria x Controles Eficazes • Mudança nas competências • Meta para muita gente? Conviso IT Security 12 You Shot the Sheriff 2009 Saturday, June 20, 2009
  • 13. Meus 5 cents Conviso IT Security 13 You Shot the Sheriff 2009 Saturday, June 20, 2009
  • 14. Meus 5 cents • Conhecimento agregado, sempre • Controles técnicos fundamentam o GRC • Pense em como o seu tempo está alocado • Existe carreira em Y, acredite • Não esqueça a abotoadura, mas lembre-se de quando você usava boné Conviso IT Security 14 You Shot the Sheriff 2009 Saturday, June 20, 2009
  • 15. Lembre-se, não é necessário usar uma abotoadura para ser um bom profissional Conviso IT Security 15 You Shot the Sheriff 2009 Saturday, June 20, 2009
  • 16. Lembre-se, não é necessário usar uma abotoadura para ser um bom profissional Conviso IT Security 16 You Shot the Sheriff 2009 Saturday, June 20, 2009
  • 17. Como transformar abotoaduras em bonés Por que os gestores devem valorizar os controles técnicos de segurança Eduardo Vianna de Camargo Neves Gerente de Operações, Conviso IT Security www.conviso.com.br Saturday, June 20, 2009
  • 18. Referências • Dados sobre incidentes em • 2009 Data Breach Investigations Report em http:// securityblog.verizonbusiness.com • Instabilidade na Telefonica em http:// www.convergenciadigital.com.br/cgi/cgilua.exe/sys/ start.htm?infoid=19081&sid=18 Conviso IT Security 18 You Shot the Sheriff 2009 Saturday, June 20, 2009