SlideShare uma empresa Scribd logo
Segurança na Web: Uma janela
                               de oportunidades



                                       Lucas C. Ferreira
                                       Câmara dos Deputados

                                       OWASP GCC Member
                       OWASP           Líder do Capítulo de Brasília
                                       lucas.ferreira@owasp.org

                                  Copyright 2007 © The OWASP Foundation
                                  Permission is granted to copy, distribute and/or modify this document
                                  under the terms of the OWASP License.




                                  The OWASP Foundation
                                  http://www.owasp.org

Monday, August 8, 11
Agenda

             OWASP - apresentação

             O manifesto e seus objetivos

             O que pode ser feito?
                  Por   legisladores
                  Por   órgãos de defesa do consumidor
                  Por   órgãos de controle
                  Por   instituto de ensino e pesquisa
                  Por   todas os órgãos de governo
                                                         OWASP   2



Monday, August 8, 11
OWASP

             Open Web Application Security Project
                  Comunidade aberta
                  Segurança de aplicações
                  Voluntários
                  8 capítulos no Brasil


             Materiais disponíveis
                  Sistemas
                  Documentos
                  Apresentações

             Conferências AppSec                     OWASP   3



Monday, August 8, 11
O Manifesto e seus Objetivos

             O manifesto
                  Baseado em conversas e idéias de vários especialistas


             Objetivos
                  Sugerir ações de governo para melhorar a segurança na
                  web
                  Usar o poder de compra do estado para influir
                  positivamente
                  Proteger os consumidores
                  Permitir a inovação e a criação de negócios na área


                                                                OWASP     4



Monday, August 8, 11
O que pode ser feito?

             Por legisladores
                  Permitir e incentivar pesquisas sobre ataques
                  cibernéticos
                       Punir criminosos sem criminalizar atividades legítimas e benéficas
                       Focar na intenção
                  Requerer a publicação de avaliações de segurança
                       Permitir amplo acesso a informações sobre vulnerabilidades
                  Criar agência para tratar os aspectos de divulgação de
                  falhas de segurança
                       garantir uma postura ética e responsável de todas as partes
                  Exigir requisitos de segurança em contratos
                  governamentais
                                                                              OWASP         5



Monday, August 8, 11
O que pode ser feito?

             Por legisladores
                  Responsabilizar organizações que não tratem com
                  diligência os aspectos de segurança de aplicações
                       Organizações são responsáveis por sistemas que vendem e usam
                       Fornecedores co-responsáveis nos moldes do CDC
                  Exigir que o governo tenha acesso às atualizações de
                  segurança durante toda a vida útil do software
                       Aplicar patches é o mínimo em termos de segurança
                  Exigir a abertura do código após o termino da vida útil
                       Softwares usados pelo governo
                       Apenas para o desenvolvimento de patches
                       Eliminar necessidade de compra de novas versões

                                                                           OWASP      6



Monday, August 8, 11
O que pode ser feito?

             Por legisladores
                  Eliminar as licenças de software que isentam os
                  fabricantes da responsabilidade com a segurança de
                  seus produtos
                       Responsabilidade igual aos fabricantes de qualquer produto
                       (CDC)
                       Limitada ao valor pago




                                                                            OWASP   7



Monday, August 8, 11
O que pode ser feito?

             Por órgãos de defesa do consumidor
                  Restringir o uso de licenças de abusivas
                  Exigir a divulgação de informações inteligíveis
                       Nos moldes dos eletro-eletrônicos, carros, etc
                       Atendimento ao art. 31 do CDC
                       Necessidade de pesquisas na área
                  Exigir nível adequado de segurança de sistemas que
                  afetem a privacidade dos consumidores ou cidadãos
                       Proteger os dados
                       Avisar em caso de vazamento




                                                                        OWASP   8



Monday, August 8, 11
O que pode ser feito?

             Por órgãos de defesa do consumidor
                  Definir que os consumidores devem ser informados dos
                  possíveis usos dos dados inseridos em sistemas ou sites
                       Consumidor deve aprovar os usos previstos
                       Comunicar alterações de políticas
                  Estabelecer campanhas de conscientização de
                  segurança para os consumidores




                                                                   OWASP    9



Monday, August 8, 11
O que pode ser feito?

             Por órgãos de controle
                  Definir claramente as responsabilidades com relação à
                  segurança de aplicações
                  Verificar e auditar que práticas adequadas de segurança
                  são adotadas
                  Inserir os aspectos de segurança de aplicações em seus
                  regulamentos e/ou recomendações setoriais
                  Facilitar a criação de um mercado de seguros
                       Tendência a aumentar a segurança para diminuir os custos com
                       seguros
                  Requerer o uso de conexões criptografadas (SSL) para
                  aplicações web
                                                                          OWASP       10



Monday, August 8, 11
O que pode ser feito?

             Por órgãos de ensino e pesquisa
                  Inclusão das boas práticas de segurança de aplicações
                  no conteúdo dos cursos
                       Em todos os níveis de ensino
                  Definição de cursos avançados para formação de mão-
                  de-obra
                  Fomentar e financiar pesquisas sobre segurança de
                  aplicações
                       Em universidades e empresas
                  Promover a formação de profissionais capazes de atuar
                  com ética e responsabilidade

                                                                OWASP     11



Monday, August 8, 11
O que pode ser feito?

             Por todos os órgãos públicos
                  Financiar validações e segurança para sistemas de
                  código aberto
                       Produzir avaliações e correções de segurança para a sociedade
                  Promover o uso de tecnologias e metodologias de
                  segurança de aplicações
                       Internamente e por fornecedores
                  Promover e permitir testes de segurança de forma
                  responsável mas aberta
                       Permitir acesso aos pesquisadores éticos
                       Procedimentos definidos
                  Promover treinamento e conscientização dos gestores
                  para os desafios da segurança na web         OWASP                   12



Monday, August 8, 11
Vantagens para o país

             Área em crescimento em todo o mundo
             Desenvolvimento tecnológico
             Desenvolvimento de mão-de-obra altamente
             capacitada
             Crescimento de áreas afins
                  e-commerce
                  e-gov
             Atração de investimentos
             Criação de negócios e empresas


                                                    OWASP   13



Monday, August 8, 11
AppSec Latam 2011




                       4 a 7 de outubro de 2011

                        www.appseclatam.org

                           @AppSecLatam           OWASP   14



Monday, August 8, 11
Segurança na Web: Uma janela
                               de oportunidades



                                       Lucas C. Ferreira
                                       Câmara dos Deputados

                                       OWASP GCC Member
                       OWASP           Líder do Capítulo de Brasília
                                       lucas.ferreira@owasp.org

                                  Copyright 2007 © The OWASP Foundation
                                  Permission is granted to copy, distribute and/or modify this document
                                  under the terms of the OWASP License.




                                  The OWASP Foundation
                                  http://www.owasp.org

Monday, August 8, 11

Mais conteúdo relacionado

Destaque

Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012
Luiz Sales Rabelo
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
SegInfo
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
SegInfo
 
Oficina Integradora - Daryus Impacta
Oficina Integradora - Daryus ImpactaOficina Integradora - Daryus Impacta
Oficina Integradora - Daryus Impacta
Luiz Sales Rabelo
 
Processo investigativo - Faculdader Impacta
Processo investigativo - Faculdader ImpactaProcesso investigativo - Faculdader Impacta
Processo investigativo - Faculdader Impacta
Luiz Sales Rabelo
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013
SegInfo
 
CNASI 2011
CNASI 2011CNASI 2011
CNASI 2011
Luiz Sales Rabelo
 
Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012
Luiz Sales Rabelo
 

Destaque (8)

Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
 
Oficina Integradora - Daryus Impacta
Oficina Integradora - Daryus ImpactaOficina Integradora - Daryus Impacta
Oficina Integradora - Daryus Impacta
 
Processo investigativo - Faculdader Impacta
Processo investigativo - Faculdader ImpactaProcesso investigativo - Faculdader Impacta
Processo investigativo - Faculdader Impacta
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013
 
CNASI 2011
CNASI 2011CNASI 2011
CNASI 2011
 
Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012
 

Semelhante a "Segurança na web: uma janela de oportunidades" por Lucas Ferreira

Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá
OWASP_cuiaba
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
Conviso Application Security
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Bruno Motta Rego
 
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...
Rodrigo Immaginario
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
Fabiano Souza
 
Artigo renato goncalves da silva - 13 seg
Artigo    renato goncalves da silva - 13 segArtigo    renato goncalves da silva - 13 seg
Artigo renato goncalves da silva - 13 seg
renatogonca
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test   roadsec-bh - testes de segurança, não comece pelo fim!Qa test   roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Welington Monteiro
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
Alcyon Ferreira de Souza Junior, MSc
 
Mobile App Security Test
Mobile App Security TestMobile App Security Test
Mobile App Security Test
Kleitor Franklint Correa Araujo
 
Como obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geraçãoComo obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geração
Cisco do Brasil
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
Magno Logan
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de Fatima
OWASP Brasília
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Clavis Segurança da Informação
 
A proteção jurídica do programa de computador: ótica da empresa
A proteção jurídica do programa de computador: ótica da empresaA proteção jurídica do programa de computador: ótica da empresa
A proteção jurídica do programa de computador: ótica da empresa
CEST
 
DevSecOps - Integrando Segurança no Processo DevOps
DevSecOps - Integrando Segurança no Processo DevOpsDevSecOps - Integrando Segurança no Processo DevOps
DevSecOps - Integrando Segurança no Processo DevOps
Alessandra Soares
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
gabrio2022
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - Apresentação
Décio Castaldi, MBA/FIAP
 
AllViXM - Initial presentation
AllViXM - Initial presentationAllViXM - Initial presentation
AllViXM - Initial presentation
Mário Marroquim
 
Abese Cartilha do Consumidor
Abese Cartilha do ConsumidorAbese Cartilha do Consumidor
Abese Cartilha do Consumidor
Ulisses Ferreira do Nascimento, GSP,MBS,CES
 

Semelhante a "Segurança na web: uma janela de oportunidades" por Lucas Ferreira (20)

Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
 
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
 
Artigo renato goncalves da silva - 13 seg
Artigo    renato goncalves da silva - 13 segArtigo    renato goncalves da silva - 13 seg
Artigo renato goncalves da silva - 13 seg
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test   roadsec-bh - testes de segurança, não comece pelo fim!Qa test   roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
Mobile App Security Test
Mobile App Security TestMobile App Security Test
Mobile App Security Test
 
Como obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geraçãoComo obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geração
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de Fatima
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
A proteção jurídica do programa de computador: ótica da empresa
A proteção jurídica do programa de computador: ótica da empresaA proteção jurídica do programa de computador: ótica da empresa
A proteção jurídica do programa de computador: ótica da empresa
 
DevSecOps - Integrando Segurança no Processo DevOps
DevSecOps - Integrando Segurança no Processo DevOpsDevSecOps - Integrando Segurança no Processo DevOps
DevSecOps - Integrando Segurança no Processo DevOps
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - Apresentação
 
AllViXM - Initial presentation
AllViXM - Initial presentationAllViXM - Initial presentation
AllViXM - Initial presentation
 
Abese Cartilha do Consumidor
Abese Cartilha do ConsumidorAbese Cartilha do Consumidor
Abese Cartilha do Consumidor
 

Mais de SegInfo

Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição
SegInfo
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
SegInfo
 
Midiakit SegInfo 2015
Midiakit SegInfo 2015Midiakit SegInfo 2015
Midiakit SegInfo 2015
SegInfo
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
SegInfo
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05
SegInfo
 
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
SegInfo
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito
SegInfo
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
SegInfo
 
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire..."Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
SegInfo
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
SegInfo
 
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão..."Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
SegInfo
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan Bonagura
SegInfo
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
SegInfo
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
SegInfo
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini
SegInfo
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
SegInfo
 
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
SegInfo
 

Mais de SegInfo (17)

Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
 
Midiakit SegInfo 2015
Midiakit SegInfo 2015Midiakit SegInfo 2015
Midiakit SegInfo 2015
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05
 
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
 
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire..."Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
 
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão..."Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan Bonagura
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
 
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
 

Último

História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX   .2.pptxHistória da Rádio- 1936-1970 século XIX   .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
TomasSousa7
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
Danilo Pinotti
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
Momento da Informática
 
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdfEscola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Gabriel de Mattos Faustino
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
Momento da Informática
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
Faga1939
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
WELITONNOGUEIRA3
 

Último (7)

História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX   .2.pptxHistória da Rádio- 1936-1970 século XIX   .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
 
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdfEscola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
 

"Segurança na web: uma janela de oportunidades" por Lucas Ferreira

  • 1. Segurança na Web: Uma janela de oportunidades Lucas C. Ferreira Câmara dos Deputados OWASP GCC Member OWASP Líder do Capítulo de Brasília lucas.ferreira@owasp.org Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org Monday, August 8, 11
  • 2. Agenda OWASP - apresentação O manifesto e seus objetivos O que pode ser feito? Por legisladores Por órgãos de defesa do consumidor Por órgãos de controle Por instituto de ensino e pesquisa Por todas os órgãos de governo OWASP 2 Monday, August 8, 11
  • 3. OWASP Open Web Application Security Project Comunidade aberta Segurança de aplicações Voluntários 8 capítulos no Brasil Materiais disponíveis Sistemas Documentos Apresentações Conferências AppSec OWASP 3 Monday, August 8, 11
  • 4. O Manifesto e seus Objetivos O manifesto Baseado em conversas e idéias de vários especialistas Objetivos Sugerir ações de governo para melhorar a segurança na web Usar o poder de compra do estado para influir positivamente Proteger os consumidores Permitir a inovação e a criação de negócios na área OWASP 4 Monday, August 8, 11
  • 5. O que pode ser feito? Por legisladores Permitir e incentivar pesquisas sobre ataques cibernéticos Punir criminosos sem criminalizar atividades legítimas e benéficas Focar na intenção Requerer a publicação de avaliações de segurança Permitir amplo acesso a informações sobre vulnerabilidades Criar agência para tratar os aspectos de divulgação de falhas de segurança garantir uma postura ética e responsável de todas as partes Exigir requisitos de segurança em contratos governamentais OWASP 5 Monday, August 8, 11
  • 6. O que pode ser feito? Por legisladores Responsabilizar organizações que não tratem com diligência os aspectos de segurança de aplicações Organizações são responsáveis por sistemas que vendem e usam Fornecedores co-responsáveis nos moldes do CDC Exigir que o governo tenha acesso às atualizações de segurança durante toda a vida útil do software Aplicar patches é o mínimo em termos de segurança Exigir a abertura do código após o termino da vida útil Softwares usados pelo governo Apenas para o desenvolvimento de patches Eliminar necessidade de compra de novas versões OWASP 6 Monday, August 8, 11
  • 7. O que pode ser feito? Por legisladores Eliminar as licenças de software que isentam os fabricantes da responsabilidade com a segurança de seus produtos Responsabilidade igual aos fabricantes de qualquer produto (CDC) Limitada ao valor pago OWASP 7 Monday, August 8, 11
  • 8. O que pode ser feito? Por órgãos de defesa do consumidor Restringir o uso de licenças de abusivas Exigir a divulgação de informações inteligíveis Nos moldes dos eletro-eletrônicos, carros, etc Atendimento ao art. 31 do CDC Necessidade de pesquisas na área Exigir nível adequado de segurança de sistemas que afetem a privacidade dos consumidores ou cidadãos Proteger os dados Avisar em caso de vazamento OWASP 8 Monday, August 8, 11
  • 9. O que pode ser feito? Por órgãos de defesa do consumidor Definir que os consumidores devem ser informados dos possíveis usos dos dados inseridos em sistemas ou sites Consumidor deve aprovar os usos previstos Comunicar alterações de políticas Estabelecer campanhas de conscientização de segurança para os consumidores OWASP 9 Monday, August 8, 11
  • 10. O que pode ser feito? Por órgãos de controle Definir claramente as responsabilidades com relação à segurança de aplicações Verificar e auditar que práticas adequadas de segurança são adotadas Inserir os aspectos de segurança de aplicações em seus regulamentos e/ou recomendações setoriais Facilitar a criação de um mercado de seguros Tendência a aumentar a segurança para diminuir os custos com seguros Requerer o uso de conexões criptografadas (SSL) para aplicações web OWASP 10 Monday, August 8, 11
  • 11. O que pode ser feito? Por órgãos de ensino e pesquisa Inclusão das boas práticas de segurança de aplicações no conteúdo dos cursos Em todos os níveis de ensino Definição de cursos avançados para formação de mão- de-obra Fomentar e financiar pesquisas sobre segurança de aplicações Em universidades e empresas Promover a formação de profissionais capazes de atuar com ética e responsabilidade OWASP 11 Monday, August 8, 11
  • 12. O que pode ser feito? Por todos os órgãos públicos Financiar validações e segurança para sistemas de código aberto Produzir avaliações e correções de segurança para a sociedade Promover o uso de tecnologias e metodologias de segurança de aplicações Internamente e por fornecedores Promover e permitir testes de segurança de forma responsável mas aberta Permitir acesso aos pesquisadores éticos Procedimentos definidos Promover treinamento e conscientização dos gestores para os desafios da segurança na web OWASP 12 Monday, August 8, 11
  • 13. Vantagens para o país Área em crescimento em todo o mundo Desenvolvimento tecnológico Desenvolvimento de mão-de-obra altamente capacitada Crescimento de áreas afins e-commerce e-gov Atração de investimentos Criação de negócios e empresas OWASP 13 Monday, August 8, 11
  • 14. AppSec Latam 2011 4 a 7 de outubro de 2011 www.appseclatam.org @AppSecLatam OWASP 14 Monday, August 8, 11
  • 15. Segurança na Web: Uma janela de oportunidades Lucas C. Ferreira Câmara dos Deputados OWASP GCC Member OWASP Líder do Capítulo de Brasília lucas.ferreira@owasp.org Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org Monday, August 8, 11