O documento apresenta o Managed Application Security Process (MASP) da Conviso, um processo gerenciado para garantir a segurança de aplicações web em todas as fases do ciclo de desenvolvimento, realizando planejamento, testes, implementação de controles e melhoria contínua do processo de desenvolvimento.
O documento discute a implementação de segurança no desenvolvimento de software de acordo com a ISO 27001. Apresenta o conceito de Software Security Assurance (SSA) e suas práticas de governança, construção, verificação e implementação. Também descreve os papéis e responsabilidades no SSA e fornece detalhes sobre a ISO 27001 e suas partes futuras.
O documento descreve o QualysGuard Vulnerability Management, uma solução de gerenciamento de vulnerabilidades que identifica riscos de segurança de forma automatizada e sem a necessidade de instalação de softwares. Ela oferece proteção contínua por meio de varreduras diárias e relatórios que auxiliam na priorização e correção de vulnerabilidades. A solução integra diversos sistemas de TI para simplificar a gestão de segurança.
1. O documento discute os requisitos para firewalls de nova geração, incluindo a capacidade de identificar e controlar aplicações independentemente da porta usada, identificar e controlar métodos de contorno de segurança, e descriptografar tráfego SSL de saída.
O documento discute a importância da segurança no desenvolvimento de software, destacando que apenas testes e documentação não são suficientes. É necessário um processo de desenvolvimento de software seguro que inclua requisitos claros, modelagem de ameaças, revisão de código, testes de segurança e gestão de vulnerabilidades após o lançamento. O documento também esclarece que os padrões ISO/IEC 15.408 e Common Criteria não devem ser usados como base para segurança no desenvolvimento, pois seu foco é a certificação de produtos prontos.
Este documento resume 4 treinamentos relacionados à confiabilidade e gestão de riscos de engenharia. Os treinamentos abordam tópicos como análise de confiabilidade, árvore de falhas, manutenção centrada na confiabilidade e FMEA para desenvolvimento de produtos.
O documento discute a implementação de segurança no desenvolvimento de software de acordo com a ISO 27001. Apresenta o conceito de Software Security Assurance (SSA) e suas práticas de governança, construção, verificação e implementação. Também descreve os papéis e responsabilidades no SSA e fornece detalhes sobre a ISO 27001 e suas partes futuras.
O documento descreve o QualysGuard Vulnerability Management, uma solução de gerenciamento de vulnerabilidades que identifica riscos de segurança de forma automatizada e sem a necessidade de instalação de softwares. Ela oferece proteção contínua por meio de varreduras diárias e relatórios que auxiliam na priorização e correção de vulnerabilidades. A solução integra diversos sistemas de TI para simplificar a gestão de segurança.
1. O documento discute os requisitos para firewalls de nova geração, incluindo a capacidade de identificar e controlar aplicações independentemente da porta usada, identificar e controlar métodos de contorno de segurança, e descriptografar tráfego SSL de saída.
O documento discute a importância da segurança no desenvolvimento de software, destacando que apenas testes e documentação não são suficientes. É necessário um processo de desenvolvimento de software seguro que inclua requisitos claros, modelagem de ameaças, revisão de código, testes de segurança e gestão de vulnerabilidades após o lançamento. O documento também esclarece que os padrões ISO/IEC 15.408 e Common Criteria não devem ser usados como base para segurança no desenvolvimento, pois seu foco é a certificação de produtos prontos.
Este documento resume 4 treinamentos relacionados à confiabilidade e gestão de riscos de engenharia. Os treinamentos abordam tópicos como análise de confiabilidade, árvore de falhas, manutenção centrada na confiabilidade e FMEA para desenvolvimento de produtos.
O documento discute abordagens para segurança em desenvolvimento de software. Ele descreve as principais falhas de adotar apenas normas, testes ou documentação. Recomenda o uso do Software Assurance Maturity Model (SAMM) e do Comprehensive, Lightweight Application Security Process (CLASP) para fornecer uma estrutura para implementar segurança ao longo do ciclo de vida do software.
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
Redes de controle e sistemas de controle industrial gerenciam a geração e a distribuição de eletricidade, automatizam linhas de produção, controlam sistemas ambientais em grandes edifícios comerciais e hospitais e gerenciam muitos outros processos vitais. Eles também enfrentam um conjunto único de complicações quando se trata de segurança cibernética. A Cisco entende isso e ajuda a proteger redes de controle antes, durante e depois de um ataque sem sacrificar a confiabilidade.
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
Conheça as duas soluções da NStalker para avaliar a segurança de suas aplicações web, e veja qual delas melhor atenderá as necessidades de sua empresa.
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
O documento apresenta uma proposta para integrar conceitos de segurança da informação e práticas de segurança de software à metodologia ágil SCRUM. Discute desafios como analisar riscos e modelar ameaças. Também aborda princípios de segurança como economia de mecanismos, mediação completa e privilégio mínimo.
Curso Plano de Continuidade dos Negócios - OverviewData Security
O documento apresenta um curso sobre Plano de Continuidade de Negócios, incluindo sua estrutura, carga horária, instrutor e conteúdo. O curso aborda normas de gestão da continuidade, planejamento, riscos, gerenciamento de crises e tópicos avançados como segurança e recuperação.
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...TI Safe
O documento discute a implementação de segurança em redes de automação industrial utilizando padrões abertos, como o ANSI/ISA-99. Ele apresenta o modelo de zonas e condutos da norma para agrupar ativos lógicos e definir políticas de segurança. O documento também descreve a aplicação deste modelo em uma refinaria, dividindo seus sistemas em zonas baseadas em funções operacionais e requisitos de segurança.
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
[1] O documento discute a importância da visibilidade e conformidade em segurança através do uso do Control Compliance Suite da Symantec. [2] Ele apresenta os principais componentes e funcionalidades do CCS, incluindo a automação de avaliações de segurança e conformidade. [3] O documento também aborda como o CCS pode ajudar a consolidar dados de segurança de múltiplas fontes e priorizar esforços de remediação com base no risco.
O documento discute o Security Development Lifecycle (SDL) ou Ciclo de Vida de Desenvolvimento Seguro, propondo uma abordagem ágil para incorporar práticas de segurança ao longo de todo o ciclo de desenvolvimento de software. A proposta divide o SDL em atividades discretas em cada fase, desde os requisitos até a manutenção, de forma flexível para ser adaptada a diferentes metodologias de desenvolvimento. O objetivo é tratar a segurança como outro atributo essencial do software, identificando e corrigindo vulnerabilidades o mais cedo possível.
Este documento discute a importância da qualidade de software em sistemas de segurança crítica, como sistemas de sinalização e controle de metrô. Ele destaca a necessidade de seguir padrões como CMMI, SIL e CENELEC 50128 para garantir a confiabilidade e segurança do software. Também apresenta requisitos técnicos para o software, como planos de gerenciamento e testes, para assegurar um processo de desenvolvimento seguro.
O documento discute a confiabilidade de software. Aborda como a confiabilidade pode ser medida e estimada usando dados históricos, e como falhas em software podem causar custos significativos. Também define termos como defeitos, falhas e disponibilidade, e discute como desenvolver software confiável.
Este documento apresenta um curso sobre a norma ISO 27000. O curso terá 40 horas de duração divididas em 5 aulas com intervalos. O instrutor é um especialista em segurança da informação com experiência em bancos e universidades. O documento também resume as principais normas de segurança da informação da ISO e onde elas podem ser aplicadas.
Este documento resume a política de segurança da informação do Conselho da Justiça Federal (CJF) e aborda as principais ameaças virtuais, a política de segurança em si, a Resolução No 006/2008-CJF e os documentos acessórios que complementam a política.
Governança de segurança da informação - OverviewData Security
[1] O documento apresenta a estrutura de um curso de Governança em Segurança da Informação ministrado pelo professor Marcelo Lau. [2] O curso terá 40 horas de duração divididas em 5 aulas com intervalos. [3] A estrutura do curso abordará temas como segurança como valor estratégico, governança e segurança da informação, norma ISO 27001 e métricas de segurança da informação.
O documento discute a importância da segurança no desenvolvimento de software, apresentando o ciclo de vida seguro (SDL) e abordagens de teste de segurança. O SDL garante que a segurança seja considerada desde o início do desenvolvimento até o lançamento do software. Testes de segurança como fuzzing e modelagem de ameaças ajudam a identificar vulnerabilidades e corrigi-las de forma proativa.
Este documento resume uma dissertação de mestrado sobre análise de eventos de segurança usando a ferramenta OSSIM. O trabalho configurou o OSSIM para monitorar uma rede experimental e avaliou os resultados, procurando soluções para diminuir falsos positivos, como ativar plugins relevantes e calibrar correlações de eventos. Após as melhorias, os alarmes verdadeiros aumentaram e os eventos e alarmes totais diminuíram, demonstrando que o OSSIM pode fornecer análise de segurança eficiente quando devidamente configurado.
[CLASS 2014] Palestra Técnica - Cesar OliveiraTI Safe
Este documento apresenta o conceito e desenho de um programa integrado de segurança da informação para sistemas de automação da Vale. Inicialmente, descreve o cenário atual de ameaças e riscos à segurança destes sistemas. Em seguida, detalha a avaliação de riscos realizada e o planejamento de ações de segurança para cada área operacional priorizada. Por fim, estabelece um programa completo de segurança cibernética para os sistemas de automação da empresa baseado em padrões internacionais.
O documento discute os conceitos e princípios de gestão de riscos, identificando, analisando e reduzindo riscos a um nível aceitável. Existem quatro opções para tratamento de riscos: evitar, controlar, transferir ou aceitar. A escolha depende da análise dos riscos relevantes e do nível de risco considerado aceitável para a organização.
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Robson Peixoto
O documento fornece comentários sobre a Gestão de Segurança de Processos Baseada em Riscos (RBPS). Resume os principais pontos sobre as diferenças entre segurança de processos versus segurança ocupacional, a evolução das causas de grandes acidentes, e os quatro pilares da prevenção de acidentes segundo a abordagem RBPS: comprometimento com segurança, compreensão de perigos e riscos, gerenciamento de riscos, e aprendizado com experiência.
O documento descreve o Security Development Lifecycle (SDL), um processo para integrar práticas de segurança no desenvolvimento de software. O SDL inclui fases como requisitos, design, implementação, verificação, lançamento e suporte. Na fase de design, boas práticas como redução da superfície de ataque e análise de riscos são definidas para melhorar a segurança.
Este documento discute estratégias para testes de segurança em aplicações web durante todo o ciclo de desenvolvimento. Ele compara o uso de um software de escaneamento de vulnerabilidades versus um sistema de gerenciamento de segurança que integra testes estáticos e dinâmicos, suporte técnico especializado e um processo centralizado de melhoria contínua. O documento recomenda o sistema RedeSegura por sua abordagem holística à segurança do software.
Este documento discute o processo de gerenciamento de vulnerabilidades em aplicações web, incluindo desafios, etapas e benefícios. Ele descreve como testar vulnerabilidades ao longo do ciclo de vida do desenvolvimento de software e como monitorar riscos em produção, e recomenda o uso do sistema RedeSegura para apoiar esse processo.
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
Gestão De Riscos Com Base No Monitoramento De Ameaças
É necessário ter consciência de que os crimes no mundo digital estão, invariavelmente, a um clique de distância e não respeitam leis e fronteiras. Por isso, a segurança tecnológica é fundamental para proteção das empresas, frente aos avanços do cibercrime. Não é tarefa simples estruturar um plano de trabalho que contemple da gestão das análises de vulnerabilidades até o gerenciamento e monitoração de ameaças na grande rede, especialmente frente aos novos desafios, como a implementação do IPv6, o Bring yout own Disaster (BYOD) e a Internet das Coisas (IoT). Para conseguir alcançar sucesso neste universo desafiador, além dos conhecimentos técnicos, é necessário trabalhar uma habilidade não tão natural aos colaboradores de tecnologia: a comunicação. É necessário elevar o nível da comunicação, ao invés de se resumir à linguagem técnica, distante e difícil de ser compreendida pelos executivos. O motivador na escolha do tema “Riscos Tecnológicos e Monitoramento de Ameaças" é a oportunidade de compartilhar com os colegas e profissionais de Segurança da Informação as experiências práticas e desafios vivenciados na condução, estruturação e desenvolvimento de um Security Officer em uma das maiores empresa do segmento de Mídia Digital & Comunicação do mundo.
O documento discute abordagens para segurança em desenvolvimento de software. Ele descreve as principais falhas de adotar apenas normas, testes ou documentação. Recomenda o uso do Software Assurance Maturity Model (SAMM) e do Comprehensive, Lightweight Application Security Process (CLASP) para fornecer uma estrutura para implementar segurança ao longo do ciclo de vida do software.
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
Redes de controle e sistemas de controle industrial gerenciam a geração e a distribuição de eletricidade, automatizam linhas de produção, controlam sistemas ambientais em grandes edifícios comerciais e hospitais e gerenciam muitos outros processos vitais. Eles também enfrentam um conjunto único de complicações quando se trata de segurança cibernética. A Cisco entende isso e ajuda a proteger redes de controle antes, durante e depois de um ataque sem sacrificar a confiabilidade.
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
Conheça as duas soluções da NStalker para avaliar a segurança de suas aplicações web, e veja qual delas melhor atenderá as necessidades de sua empresa.
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
O documento apresenta uma proposta para integrar conceitos de segurança da informação e práticas de segurança de software à metodologia ágil SCRUM. Discute desafios como analisar riscos e modelar ameaças. Também aborda princípios de segurança como economia de mecanismos, mediação completa e privilégio mínimo.
Curso Plano de Continuidade dos Negócios - OverviewData Security
O documento apresenta um curso sobre Plano de Continuidade de Negócios, incluindo sua estrutura, carga horária, instrutor e conteúdo. O curso aborda normas de gestão da continuidade, planejamento, riscos, gerenciamento de crises e tópicos avançados como segurança e recuperação.
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...TI Safe
O documento discute a implementação de segurança em redes de automação industrial utilizando padrões abertos, como o ANSI/ISA-99. Ele apresenta o modelo de zonas e condutos da norma para agrupar ativos lógicos e definir políticas de segurança. O documento também descreve a aplicação deste modelo em uma refinaria, dividindo seus sistemas em zonas baseadas em funções operacionais e requisitos de segurança.
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
[1] O documento discute a importância da visibilidade e conformidade em segurança através do uso do Control Compliance Suite da Symantec. [2] Ele apresenta os principais componentes e funcionalidades do CCS, incluindo a automação de avaliações de segurança e conformidade. [3] O documento também aborda como o CCS pode ajudar a consolidar dados de segurança de múltiplas fontes e priorizar esforços de remediação com base no risco.
O documento discute o Security Development Lifecycle (SDL) ou Ciclo de Vida de Desenvolvimento Seguro, propondo uma abordagem ágil para incorporar práticas de segurança ao longo de todo o ciclo de desenvolvimento de software. A proposta divide o SDL em atividades discretas em cada fase, desde os requisitos até a manutenção, de forma flexível para ser adaptada a diferentes metodologias de desenvolvimento. O objetivo é tratar a segurança como outro atributo essencial do software, identificando e corrigindo vulnerabilidades o mais cedo possível.
Este documento discute a importância da qualidade de software em sistemas de segurança crítica, como sistemas de sinalização e controle de metrô. Ele destaca a necessidade de seguir padrões como CMMI, SIL e CENELEC 50128 para garantir a confiabilidade e segurança do software. Também apresenta requisitos técnicos para o software, como planos de gerenciamento e testes, para assegurar um processo de desenvolvimento seguro.
O documento discute a confiabilidade de software. Aborda como a confiabilidade pode ser medida e estimada usando dados históricos, e como falhas em software podem causar custos significativos. Também define termos como defeitos, falhas e disponibilidade, e discute como desenvolver software confiável.
Este documento apresenta um curso sobre a norma ISO 27000. O curso terá 40 horas de duração divididas em 5 aulas com intervalos. O instrutor é um especialista em segurança da informação com experiência em bancos e universidades. O documento também resume as principais normas de segurança da informação da ISO e onde elas podem ser aplicadas.
Este documento resume a política de segurança da informação do Conselho da Justiça Federal (CJF) e aborda as principais ameaças virtuais, a política de segurança em si, a Resolução No 006/2008-CJF e os documentos acessórios que complementam a política.
Governança de segurança da informação - OverviewData Security
[1] O documento apresenta a estrutura de um curso de Governança em Segurança da Informação ministrado pelo professor Marcelo Lau. [2] O curso terá 40 horas de duração divididas em 5 aulas com intervalos. [3] A estrutura do curso abordará temas como segurança como valor estratégico, governança e segurança da informação, norma ISO 27001 e métricas de segurança da informação.
O documento discute a importância da segurança no desenvolvimento de software, apresentando o ciclo de vida seguro (SDL) e abordagens de teste de segurança. O SDL garante que a segurança seja considerada desde o início do desenvolvimento até o lançamento do software. Testes de segurança como fuzzing e modelagem de ameaças ajudam a identificar vulnerabilidades e corrigi-las de forma proativa.
Este documento resume uma dissertação de mestrado sobre análise de eventos de segurança usando a ferramenta OSSIM. O trabalho configurou o OSSIM para monitorar uma rede experimental e avaliou os resultados, procurando soluções para diminuir falsos positivos, como ativar plugins relevantes e calibrar correlações de eventos. Após as melhorias, os alarmes verdadeiros aumentaram e os eventos e alarmes totais diminuíram, demonstrando que o OSSIM pode fornecer análise de segurança eficiente quando devidamente configurado.
[CLASS 2014] Palestra Técnica - Cesar OliveiraTI Safe
Este documento apresenta o conceito e desenho de um programa integrado de segurança da informação para sistemas de automação da Vale. Inicialmente, descreve o cenário atual de ameaças e riscos à segurança destes sistemas. Em seguida, detalha a avaliação de riscos realizada e o planejamento de ações de segurança para cada área operacional priorizada. Por fim, estabelece um programa completo de segurança cibernética para os sistemas de automação da empresa baseado em padrões internacionais.
O documento discute os conceitos e princípios de gestão de riscos, identificando, analisando e reduzindo riscos a um nível aceitável. Existem quatro opções para tratamento de riscos: evitar, controlar, transferir ou aceitar. A escolha depende da análise dos riscos relevantes e do nível de risco considerado aceitável para a organização.
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Robson Peixoto
O documento fornece comentários sobre a Gestão de Segurança de Processos Baseada em Riscos (RBPS). Resume os principais pontos sobre as diferenças entre segurança de processos versus segurança ocupacional, a evolução das causas de grandes acidentes, e os quatro pilares da prevenção de acidentes segundo a abordagem RBPS: comprometimento com segurança, compreensão de perigos e riscos, gerenciamento de riscos, e aprendizado com experiência.
O documento descreve o Security Development Lifecycle (SDL), um processo para integrar práticas de segurança no desenvolvimento de software. O SDL inclui fases como requisitos, design, implementação, verificação, lançamento e suporte. Na fase de design, boas práticas como redução da superfície de ataque e análise de riscos são definidas para melhorar a segurança.
Este documento discute estratégias para testes de segurança em aplicações web durante todo o ciclo de desenvolvimento. Ele compara o uso de um software de escaneamento de vulnerabilidades versus um sistema de gerenciamento de segurança que integra testes estáticos e dinâmicos, suporte técnico especializado e um processo centralizado de melhoria contínua. O documento recomenda o sistema RedeSegura por sua abordagem holística à segurança do software.
Este documento discute o processo de gerenciamento de vulnerabilidades em aplicações web, incluindo desafios, etapas e benefícios. Ele descreve como testar vulnerabilidades ao longo do ciclo de vida do desenvolvimento de software e como monitorar riscos em produção, e recomenda o uso do sistema RedeSegura para apoiar esse processo.
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
Gestão De Riscos Com Base No Monitoramento De Ameaças
É necessário ter consciência de que os crimes no mundo digital estão, invariavelmente, a um clique de distância e não respeitam leis e fronteiras. Por isso, a segurança tecnológica é fundamental para proteção das empresas, frente aos avanços do cibercrime. Não é tarefa simples estruturar um plano de trabalho que contemple da gestão das análises de vulnerabilidades até o gerenciamento e monitoração de ameaças na grande rede, especialmente frente aos novos desafios, como a implementação do IPv6, o Bring yout own Disaster (BYOD) e a Internet das Coisas (IoT). Para conseguir alcançar sucesso neste universo desafiador, além dos conhecimentos técnicos, é necessário trabalhar uma habilidade não tão natural aos colaboradores de tecnologia: a comunicação. É necessário elevar o nível da comunicação, ao invés de se resumir à linguagem técnica, distante e difícil de ser compreendida pelos executivos. O motivador na escolha do tema “Riscos Tecnológicos e Monitoramento de Ameaças" é a oportunidade de compartilhar com os colegas e profissionais de Segurança da Informação as experiências práticas e desafios vivenciados na condução, estruturação e desenvolvimento de um Security Officer em uma das maiores empresa do segmento de Mídia Digital & Comunicação do mundo.
O documento apresenta uma empresa de consultoria em segurança da informação chamada Seven2 Security. A empresa oferece serviços especializados em gerenciamento de riscos, compliance, continuidade de negócios e treinamento em segurança. Sua equipe experiente ajuda clientes a entender e gerenciar riscos à segurança de dados através da correção de vulnerabilidades e implementação de controles.
O documento discute a importância da gestão de patches e vulnerabilidades para reduzir riscos de segurança. Ele aborda tópicos como monitoramento de vulnerabilidades, estabelecimento de prioridades, implantação de correções e métricas para medir a efetividade do processo. O objetivo é ajudar organizações a melhorarem seus processos de gerenciamento de vulnerabilidades e correções de segurança.
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
A Katana Security é uma empresa de consultoria em segurança da informação da Paraíba, fundada por Magno Rodrigues. Ela oferece serviços como análises de segurança, auditoria PCI, testes de segurança em aplicações e infraestrutura, revisão de código, e treinamentos em segurança da informação. A empresa também fornece licenças de ferramentas de teste de segurança como Syhunt, Netsparker e Acunetix.
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
Estruturação de uma área de segurança da informação para que de forma centralizada adote o modelo de Security Officer. Apresentado como a empresa lida com as novas oportunidades de negócio e as ameaças e desafios para Segurança, de um ponto de vista multidisciplinar, como por exemplo: Legais – Privacidade vs Cyber Crime para atendimento as autoridades públicas, Marca – proteção da marca e desativação de phishing, Tecnológicas – análises de vulnerabilidade em um ambiente complexo e de alta disponibilidade, Gerenciamento-monitoração e segurança de rede, em especial aos desafios do IPv6 e atuação do CSIRTs na resposta a incidentes e ataques DDoS, Conscientização – trabalho junto aos recursos humanos visando para garantir que as boas práticas de segurança da informação estejam presentes na cultura da empresa. O objetivo é compartilhar as experiências práticas e desafios vivenciados na condução, estruturação e desenvolvimento de um Security Officer em uma das maiores empresa do segmento de Mídia Digital & Comunicação do mundo.
O documento descreve um sistema de software para avaliação da maturidade da segurança da informação em organizações. O software mapeia a situação atual, compara com melhores práticas e estabelece um plano de melhoria contínua para que a organização alcance níveis mais avançados de governança e gestão da segurança da informação.
O documento descreve a evolução dos sistemas de gestão empresarial, desde os pacotes de controle de inventário nos anos 50 até os sistemas ERP estendidos no ano 2000. Detalha o que é um sistema ERP, seus motivos de implementação, o processo de implantação e os principais fabricantes de soluções ERP.
Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2Rafael Lima
O documento discute os conceitos de garantia da qualidade de software, qualidade do produto e qualidade do processo. A garantia da qualidade de software envolve um conjunto planejado de atividades para fornecer confiança de que os produtos e serviços atendem aos requisitos especificados e às necessidades dos usuários. Isso é realizado garantindo a qualidade tanto do produto quanto do processo de desenvolvimento.
Agile Scaling Model - TDC 2012 - São Paulo SPNeubio Ferreira
O documento apresenta uma palestra sobre o Agile Scaling Model (ASM), um framework para implantar e escalar práticas ágeis em empresas. O ASM aborda os principais desafios de escala como tamanho de times, distribuição geográfica e complexidade técnica. Casos de sucesso demonstram como empresas usaram práticas como Scrum, DevOps e XP para melhorar a produtividade e entrega de valor ao cliente.
Este documento descreve o I-SCode, uma solução de nuvem para automatizar a detecção e prevenção de vulnerabilidades em código-fonte de várias linguagens. O I-SCode analisa o código-fonte rapidamente, detecta vulnerabilidades de forma antecipada e lança alertas e processos automatizados de auditoria. A solução é adaptável, integra-se com sistemas de segurança existentes e reduz custos em comparação com auditorias manuais.
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
Uma visão geral sobre segurança e qualidade de software
Foco na importância da integração de práticas de segurança ao ciclo de desenvolvimento de software.
O documento discute conceitos de qualidade de software, incluindo a diferença entre garantia da qualidade e controle da qualidade. Ele também descreve os principais tipos de teste de software, como teste unitário, teste funcional e teste de aceitação. Além disso, fornece dicas sobre como ser um bom testador e a importância da qualidade de software.
(3) Selo WebSite Protegido by N-StalkerEduardo Lanna
Selo de Certificação provado da N-Stalker para avaliar a eficiência de melhores práticas de segurança baseadas no Gerenciamento de Vulnerabilidades em suas aplicações web.
[1] O documento discute selos de segurança para websites e como eles podem aumentar a confiança dos consumidores. [2] No entanto, um selo sozinho não garante a segurança real de um site; as melhores práticas de segurança devem ser implementadas em todos os componentes e etapas do processo de negócios. [3] O documento recomenda o uso do sistema RedeSegura para avaliar e gerenciar vulnerabilidades em aplicações web de forma contínua.
Este documento apresenta um trabalho de conclusão de curso sobre gestão de riscos e continuidade de negócios em tecnologia da informação. Ele discute fundamentos de segurança da informação, análise e gestão de riscos, e estratégias para garantir a continuidade dos negócios diante de incidentes ou desastres. O documento também aborda normas como ISO 27001 e 27002 e métodos para avaliação e tratamento de riscos que ameaçam a segurança da informação e dos negócios de uma organização.
O documento discute a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) em cinco fases: 1) avaliação inicial, 2) identificação de lacunas e planos de ação, 3) implantação de ações, 4) validação e 5) manutenção contínua. Ele explica os conceitos-chave de SGSI e gestão de riscos, além de discutir os papéis e responsabilidades na gestão da segurança da informação.
O documento discute estratégias para desenvolvimento de software seguro, incluindo metodologias como SDL e OWASP/CLASP, boas práticas como treinamento da equipe e modelagem de ameaças, testes de invasão como pentest, equipes especialistas em segurança e certificações na área.
O documento discute os conceitos fundamentais da engenharia de software, incluindo definições, processos, métodos, ferramentas e paradigmas. Aborda tópicos como o ciclo de vida do software, modelos de processo como cascata e maturidade, e as três fases genéricas de especificação, desenvolvimento e manutenção.
Semelhante a MASP: Um processo racional para garantir o nível de proteção das aplicações web em todas as fases do ciclo de desenvolvimento (20)
O documento fornece uma visão geral sobre o padrão PCI-DSS, que estabelece uma série de controles de segurança para proteger dados de cartões de crédito. Ele descreve os motivos para o crescimento de incidentes de vazamento de dados, os requisitos do padrão PCI-DSS, e as especialidades da empresa Conviso em auxiliar organizações a atenderem os requisitos 6 e 11 do padrão.
O documento discute a responsabilidade pela segurança de aplicações, destacando que (1) 70% das aplicações testadas possuem falhas sérias, (2) a gestão de vulnerabilidades é fundamental, e (3) as organizações precisam investir mais em boas práticas de segurança desde o início do desenvolvimento para reduzir custos com falhas no futuro.
O documento discute o desenvolvimento de sistemas web e web spiders. Ele apresenta o que é um web spider, casos de uso, como minerar dados da web, APIs para desenvolvimento, trabalhar com formulários e cookies, spoofing de user agent, autenticação, passagem de certificados SSL e uso de proxys. O documento também discute scanners, fuzzers e hacks relacionados à automação na web.
Palestra ministrada no OWASP Floripa Day - Florianópolis - SC |
A palestra tem como objetivo mostrar os conceitos e funcionamento de algumas funcionalidades que foram adicionadas ao HTML5, levando em consideração os aspectos de segurança do client-side. Para as funcionalidades destacadas, foram criados cenários de ataques visando ilustrar a obtenção de informações sensíves armazenadas no browser ou até mesmo usar o browser da vítima para lançar ataques contra outros sistemas. Através da exploração das funcionalidades existentes no HTML5, técnicas de exploração como XSS e CSRF, tornam-se mais poderosas e eficientes, sendo possível em alguns casos contornar algumas restrições do Same Origin Policiy (SOP).
Palestra ministrada no OWASP Floripa Day - Florianópolis - SC |
Programadores desenvolvem código como se não houvesse amanhã e pouco se investe na validação de segurança de código. A palestra aborda práticas de revisão de segurança de código e como deve ser adotado a prática em um processo de desenvolvimento de software.
O documento discute a importância de testar software da maneira correta, com três frases principais: (1) Testar sozinho não é suficiente, é preciso fazer direito; (2) Construir uma base sólida de segurança no desenvolvimento é fundamental; (3) A adoção de padrões como a ISO/IEC 27034 pode ajudar a orientar os processos de segurança no desenvolvimento de software.
Este documento resume uma apresentação sobre a automatização da análise passiva de aplicações web. Ele discute como a automatização pode nivelar o conhecimento da equipe de testes e garantir a cobertura mínima, analisa os desafios da análise passiva manual e propõe usar ferramentas como o WebFight para parser logs do Burp e extrair informações para análise, melhorando a cobertura. Apresenta também exemplos de análises automatizadas e demonstra a interface de análise.
O documento discute as preocupações com a segurança de aplicativos móveis. Apresenta os principais riscos de segurança como vazamento de dados, bypass de autenticação e interceptação de senhas. Também mostra a arquitetura de aplicativos para Android e iPhone e ferramentas para análise estática e dinâmica de aplicativos móveis.
O documento discute se o HTML5 é seguro ou inseguro. Apresenta o que é HTML5, quais recursos possui como localStorage e WebSockets. Discutem como esses recursos podem ser usados para ataques como botnets, além de explorações como SQL injection e XSS armazenados. Conclui que o HTML5 traz avanços, mas precisa de mais testes de segurança antes de ser amplamente adotado.
Apresentação feita no Rochester Security Summit 2010 sobre o incremento do cyber crime nos países em desenvolvimento e como os projetos do OWASP podem ser utilizados para mudar esta realidade.
O documento discute vulnerabilidades comuns em aplicações web baseadas em Flash, como informação vazada, cross-site scripting e uso inadequado de crossdomain.xml. Ele também fornece dicas sobre como desenvolver aplicações Flash de forma segura, como validar inputs, criptografar código e restringir acesso.
Este documento discute o PHPIDS, uma ferramenta de detecção de intrusão para aplicações PHP. Ele explica como o PHPIDS funciona com regras baseadas em regex para identificar possíveis ameaças, pode ser implementado em aplicações individuais ou globalmente, e permite customização das configurações e regras. Também discute a integração do PHPIDS com o HTML Purifier para sanitização de dados e o Memcached para melhorar o desempenho.
O documento discute a técnica de fuzzing para testes de aplicações web. Ele explica o que é fuzzing, como usar a base de dados OWASP FuzzingCode e demonstra como aplicar fuzzing em pontos de entrada como parâmetros GET, POST, cookies e XML.
O documento resume as 10 principais vulnerabilidades em aplicações web segundo o OWASP (Open Web Application Security Project) e os recursos do .NET para mitigá-las, como validação de dados, autenticação e gerenciamento de sessão, criptografia e configuração de erros.
Este documento discute por que os gestores devem valorizar os controles técnicos de segurança. Apresenta dados sobre incidentes comuns que poderiam ser evitados com controles simples e explora por que os controles técnicos nem sempre recebem a atenção devida, apesar de fundamentarem a segurança. Defende que os gestores reavaliem como alocam seu tempo para dar mais ênfase aos controles técnicos.
O documento resume as 10 principais vulnerabilidades de segurança em aplicações web segundo o OWASP Top 10, fornecendo dicas para tratá-las em PHP. São elas: XSS, falhas de injeção, execução maliciosa de arquivos, referência direta a objetos, CSRF, vazamento de informações, furo de autenticação, armazenamento criptográfico inseguro, comunicações inseguras e restrições de acesso a URLs. O documento incentiva o uso de bibliotecas e boas práticas de codificação para pre
1) O documento discute testes de segurança de software, abordagens como white-box e black-box, e a importância da modelagem de ameaças para planejar testes.
2) É explicado que testes de segurança buscam garantir não repúdio, controle de acesso e privacidade de dados.
3) A modelagem de ameaças mapeia riscos e ajuda a definir requisitos de segurança.
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...Faga1939
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
Este certificado confirma que Gabriel de Mattos Faustino concluiu com sucesso um curso de 42 horas de Gestão Estratégica de TI - ITIL na Escola Virtual entre 19 de fevereiro de 2014 a 20 de fevereiro de 2014.
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
MASP: Um processo racional para garantir o nível de proteção das aplicações web em todas as fases do ciclo de desenvolvimento
1. MASP | Managed Application Security Process
Um processo racional para garantir o nível de proteção das aplicações
web em todas as fases do ciclo de desenvolvimento
Eduardo Neves | CEO Wagner Elias | CTO
eneves@conviso.com.br welias@conviso.com.br
1
2. Sobre a Conviso
Fundada em 2008 é uma empresa especializada em Application Security e
Network Security com operações no Brasil e Estados Unidos
Temos entre nossos clientes empresas de grande e médio porte em
diversos segmentos, incluindo os líderes em seus setores
Nossa equipe tem as principais certi cações do mercado, participa de
eventos internacionais e publica artigos sobre IT Security
Mantemos acordos de cooperação com a Check Point e Security Art para
análise de vulnerabilidades e desenvolvimento de soluções especí cas
Apoiamos e participamos do OWASP através de diversas iniciativas e
projetos
Conviso | Managed Application Security Process 2
3. Serviços e Produtos
Web Application Firewall Web Application Scanning
Database Security Vulnerability Management
File Security PCI Compliance
Security Planning Security Testing Security Deployment
• Security Development Lifecycle • Penetration Test • Web Application Firewall
• Application, Network and Architecture • Web Security Assessment • Database and File Security
• Integration on the Infrastructure • Security Code Review • Vulnerability Management
Conviso Labs
Pesquisa de Vulnerabilidades Ferramentas de Suporte Treinamentos Técnicos
Conviso | Managed Application Security Process 3
5. Racional
As empresas tem focado em aspectos de GRC como vantagem competitiva ou
necessidade de compliance porém os resultados da exploração de falhas
continuam a aparecer com frequência
Os aspectos técnicos são administrados como um mal necessário ou
requerimento complementar
Os negócios estão sendo posicionados na nuvem com uma abordagem
tradicional de segurança
A segurança das aplicações é fundamental para suportar de forma
adequada os negócios on-line, porém não pode ser tratada como uma
iniciativa isolada
Conviso | Managed Application Security Process 5
6. A Abordagem Tradicional
A execução de testes de segurança permite realizar ações corretivas pontuais,
mas não suporta nenhuma uma evolução no desenvolvimento de aplicações
seguras
As causas das falhas não são endereçadas de forma adequada
Aplicações Web com falhas são posicionadas em ambiente de produção
devido as pressões das áreas de negócios
Ferramentas de proteção exigem investimentos diretos e contratação de
equipe especializada para administração dos recursos
Conviso | Managed Application Security Process 6
7. Diferenciais do MASP
É um serviço de suporte para o processo de desenvolvimento seguro de
software indo desde a gestão de Build, Bug Tracking, Testes de Segurança,
Virtual Patching e implementação de um processo de segurança em
desenvolvimento
As causas das falhas são identi cadas e utilizadas para suportar ações
operacionais e estratégicas
Aplicações Web com falhas podem ser temporariamente posicionadas
de forma segura dentro deste ciclo de operação
O cliente é continuamente capacitado e o nível de maturidade do
processo é crescente
Pode ser estruturado para atender a padrões como o PCI DSS e o HIPAA
Conviso | Managed Application Security Process 7
8. Como o MASP funciona?
Conviso | Managed Application Security Process 8
9. Como o MASP funciona?
Planejamento
Conviso | Managed Application Security Process 8
10. Como o MASP funciona?
Testes
Planejamento
Conviso | Managed Application Security Process 8
11. Como o MASP funciona?
Testes
Aplicação
Planejamento
segura?
Conviso | Managed Application Security Process 8
12. Como o MASP funciona?
Testes
Aplicação sim
Planejamento Implementação
segura?
Conviso | Managed Application Security Process 8
13. Como o MASP funciona?
Testes
Aplicação sim
Planejamento Implementação
segura?
não
Novo
release?
Conviso | Managed Application Security Process 8
14. Como o MASP funciona?
Testes
Aplicação sim
Planejamento Implementação
segura?
não
Novo
release?
sim
Adequação
Conviso | Managed Application Security Process 8
15. Como o MASP funciona?
Testes
Aplicação sim
Planejamento Implementação
segura?
não
Novo
release?
sim
Adequação
Conviso | Managed Application Security Process 8
16. Como o MASP funciona?
Testes
Aplicação sim
Planejamento Implementação
segura?
não
Novo não
release?
sim
Adequação
Conviso | Managed Application Security Process 8
17. Como o MASP funciona?
Testes
Aplicação sim
Planejamento Implementação
segura?
não
Novo não
release?
sim
Adequação
Conviso | Managed Application Security Process 8
18. Como o MASP funciona?
Testes
Security
Assessment
Aplicação sim
Planejamento Implementação
segura?
não
WAF
Novo não
release?
sim
Adequação
Conviso | Managed Application Security Process 8
19. Como o MASP funciona?
Testes
Security
Assessment
Aplicação sim
Planejamento Implementação
segura?
não
WAF
Novo não
release?
sim
Adequação
Conviso | Managed Application Security Process 8
20. Como o MASP funciona?
Testes
Security
Assessment
Aplicação sim
Planejamento Implementação
segura?
não
WAF
Novo não
release?
sim
Adequação
Conviso | Managed Application Security Process 8
21. Como o MASP funciona?
Testes
Security
Assessment
Aplicação sim
Planejamento Implementação
segura?
não
WAF
Novo não
release?
sim
Adequação
Conviso | Managed Application Security Process 8
22. Como o MASP funciona?
Processo de Gestão de Vulnerabilidades
Testes
Security
Assessment
Aplicação sim
Planejamento Implementação
segura?
não
WAF
Novo não
release?
sim
Adequação
Conviso | Managed Application Security Process 8
23. Como o MASP funciona?
O MASP permite realizar ações corretivas para adequar a proteção dos
componentes e elevar imediatamente o nível de proteção do Ambiente
Informatizado
Os testes e avaliações resultam em sugestões de controles e
recomendações de melhoria para o processo de desenvolvimento
Falhas que não podem ser corrigidas são tratadas através de virtual
patching pelo WAF
A capacitação da equipe responsável, melhoria contínua do processo de
desenvolvimento e a oferta de bibliotecas com códigos seguros são
características presentes na solução
Conviso | Managed Application Security Process 9
24. Conclusão
Nossa equipe é formada por pro ssionais de IT Security com conhecimento de
mercado, experiência em gestão e vivência dentro de empresas
Sabemos utilizar essas competências a seu favor, avaliando suas necessidades
de forma pragmática e apresentando soluções que façam sentido, funcionem e
sejam claras para você e seus clientes
Nosso web site: http://conviso.com.br
Nosso canal no YouTube: http://www.youtube.com/ConvisoITSecurity
Presença no Twitter: http://twitter.com/conviso
Conviso | Managed Application Security Process 10
25. Curitiba | Miami | São Paulo
Rua Marechal Hermes 678 CJ 32
CEP 80530-230, Curitiba, PR
t. (41) 3095-3986
www.conviso.com.br
8671 NW 56th Street
Doral, FL 33166
t. (786) 382-0167
www.convisosec.com
Conviso IT Security | Apresentação Institucional 4Q 2010 11