SlideShare uma empresa Scribd logo

Gestão de vulnerabilidades

Transferir como PPTX, PDF
Flavio Shiga
Flavio Shiga

O documento discute os principais desafios na gestão de vulnerabilidades em segurança da informação, como planejar o processo, identificar ativos e mapear vulnerabilidades, tratar as vulnerabilidades encontradas e manter o processo de gestão de vulnerabilidades de forma contínua. Também apresenta um caso de sucesso no qual a adoção de soluções em nuvem permitiu melhorar a detecção, correção e monitoramento de vulnerabilidades em grande empresa.

Apresentações e oratória
1 de 25
O MAIOR EVENTO BRASILEIRO DE HACKING, SEGURANÇA E TECNOLOGIA
TOP 5 Desafios na Gestão de Vulnerabilidades
• Gerente de Serviços iBLISS • Professor de Segurança da Informação • Consultor de TI/SI +11 anos • ISO/IEC 27001 LA, ISFS, ITIL, Cobit, MCSO e Cisco (5) • Pesquisador de vulnerabilidades/fraudes (Aplicações Web) • Algumas palestras: – Roadsec Natal/BH/SP – BHACK e H2HC – Mind the Sec e Cyber Security Meeting – 5th Infosec Week & Cyber Bootcamp FLÁVIO K. SHIGA
Agenda • Introdução • TOP 5 Desafios na Gestão de Vulnerabilidades • Caso de sucesso
Você tem a resposta para estas perguntas?
TOP 5 Desafios Gestão de Vulnerabilidades
Planejar a Gestão de Vulnerabilidades
Definição/capacitação de equipe interna Contratação de consultoria especializada Apoio da alta gestão Investimento financeiro
Identificar e Mapear Contexto
Qual é o tamanho do seu ambiente?  10 ativos  20.000 ativos  250.000 ativos
Identificar e Mapear Ativos Vulnerabilidades Falsos Positivos
Tratar as Vulnerabilidades
Infraestrutura Aplicações Dispositivos móveis • Apoio da Alta Gestão • Esforço, conhecimento e investimento • SLA
Realizar a Gestão de Vulnerabilidades
Gestão no Excel?
Gestão em nuvem?
Manter processo de Gestão de Vulnerabilidades
Ciclo de vida da vulnerabilidade Identificação da Vulnerabilidade Correção ValidaçãoReteste Gestão de Vulnerabilidades
Caso de Sucesso
Escopo Informações/ações descentralizadas TOP 5 Desafios • Planejar a Gestão de Vulnerabilidades • Identificar e Mapear Contexto • Tratar as Vulnerabilidades • Realizar a Gestão de Vulnerabilidades • Manter processo de Gestão de Vulnerabilidades Diversas localidades geográficas
Tático Operacional Planejamento estratégico - Por que e quando? Presidente/Sócios/Diretores Plano de ação Técnico/Executor Plano tático - Onde e como? Gerente/Coordenador Estratégico
Visão Estratégica Dashboard
Visão Operacional Detalhes técnicos das Vulnerabilidades
Alguns dos principais benefícios  Dashboard integrado, com indicadores de desempenho de todas as áreas no processo de correção das vulnerabilidades  Visão em tempo real das vulnerabilidades e seus respectivos estados  Melhoria no processo de detecção de vulnerabilidades  Vulnerabilidades com tempo de exposição menor  Maior abrangência dos tipos de vulnerabilidades detectadas  Maior assertividade do mecanismo de detecção  Aumento do parque monitorado  Melhoria no processo de correção de vulnerabilidades  Eficiência no compartilhamento das informações entre as áreas
Obrigado! Flávio K. Shiga Flavio.Shiga@ibliss.com.br https://www.linkedin.com/in/fshiga www.ibliss.com.br

Recomendados

Siem on cloud times
Siem on cloud timesSiem on cloud times
Siem on cloud timesEduardo Alves
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 
Blind SQL Injection Ameaça Oculta - do Ataque a Defesa
Blind SQL Injection Ameaça Oculta - do Ataque a DefesaBlind SQL Injection Ameaça Oculta - do Ataque a Defesa
Blind SQL Injection Ameaça Oculta - do Ataque a DefesaFlavio Shiga
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewJairo Willian Pereira
 
CNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCarlos Eduardo Motta de Castro
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRafael Maia
 
A evolução e os desafios do chapter de PMs no Nubank - Pedro Axelrud
A evolução e os desafios do chapter de PMs no Nubank - Pedro AxelrudA evolução e os desafios do chapter de PMs no Nubank - Pedro Axelrud
A evolução e os desafios do chapter de PMs no Nubank - Pedro AxelrudAgile Trends
 
Monte Carlo - Projeto Lisarb
Monte Carlo - Projeto LisarbMonte Carlo - Projeto Lisarb
Monte Carlo - Projeto LisarbMarco Coghi
 

Recomendados

Siem on cloud times
Siem on cloud timesSiem on cloud times
Siem on cloud timesEduardo Alves
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 
Blind SQL Injection Ameaça Oculta - do Ataque a Defesa
Blind SQL Injection Ameaça Oculta - do Ataque a DefesaBlind SQL Injection Ameaça Oculta - do Ataque a Defesa
Blind SQL Injection Ameaça Oculta - do Ataque a DefesaFlavio Shiga
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewJairo Willian Pereira
 
CNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCarlos Eduardo Motta de Castro
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRafael Maia
 
A evolução e os desafios do chapter de PMs no Nubank - Pedro Axelrud
A evolução e os desafios do chapter de PMs no Nubank - Pedro AxelrudA evolução e os desafios do chapter de PMs no Nubank - Pedro Axelrud
A evolução e os desafios do chapter de PMs no Nubank - Pedro AxelrudAgile Trends
 
Monte Carlo - Projeto Lisarb
Monte Carlo - Projeto LisarbMonte Carlo - Projeto Lisarb
Monte Carlo - Projeto LisarbMarco Coghi
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebKeySupport Consultoria e Informática Ltda
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Recuperação de projetos em crise
Recuperação de projetos em criseRecuperação de projetos em crise
Recuperação de projetos em criseSilas Serpa
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Pedro Garcia
 
Palestra apresentada na Econofarma SP 2014 pelo consultor convidado Anderson ...
Palestra apresentada na Econofarma SP 2014 pelo consultor convidado Anderson ...Palestra apresentada na Econofarma SP 2014 pelo consultor convidado Anderson ...
Palestra apresentada na Econofarma SP 2014 pelo consultor convidado Anderson ...Gunnebo Brasil
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2Catia Marques
 
CNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento SeguroCNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento SeguroCarlos Eduardo Motta de Castro
 
5S - Curso Completo - Módulo 2.1 - Implantação.ppt
5S - Curso Completo - Módulo 2.1 - Implantação.ppt5S - Curso Completo - Módulo 2.1 - Implantação.ppt
5S - Curso Completo - Módulo 2.1 - Implantação.pptFabriciaDaSilva5
 
Estratégias de Segurança e Gerenciamento para MySQL
Estratégias de Segurança e Gerenciamento para MySQLEstratégias de Segurança e Gerenciamento para MySQL
Estratégias de Segurança e Gerenciamento para MySQLMySQL Brasil
 
Gestão Global de Riscos: case de sucesso
Gestão Global de Riscos: case de sucessoGestão Global de Riscos: case de sucesso
Gestão Global de Riscos: case de sucessoIETEC - Instituto de Educação Tecnológica
 
Palestra sescon 2011 - A importância dos controle internos e contábeis na ges...
Palestra sescon 2011 - A importância dos controle internos e contábeis na ges...Palestra sescon 2011 - A importância dos controle internos e contábeis na ges...
Palestra sescon 2011 - A importância dos controle internos e contábeis na ges...MASSI Consultoria e Treinamento
 
DXTEC: Uma breve abordagem sobre alta disponibilidade em bancos de dados
DXTEC: Uma breve abordagem sobre alta disponibilidade em bancos de dadosDXTEC: Uma breve abordagem sobre alta disponibilidade em bancos de dados
DXTEC: Uma breve abordagem sobre alta disponibilidade em bancos de dadosFranky Weber Faust
 
Segredos de Uma Avaliação em Governança de TI
Segredos de Uma Avaliação em Governança de TISegredos de Uma Avaliação em Governança de TI
Segredos de Uma Avaliação em Governança de TIFernando Palma
 
Os 10 Maiores Erros na Documentação de Processos
Os 10 Maiores Erros na Documentação de ProcessosOs 10 Maiores Erros na Documentação de Processos
Os 10 Maiores Erros na Documentação de Processoswingscreative
 
Agir webinar res 4658 f nery 04mai2018
Agir webinar res 4658 f nery 04mai2018Agir webinar res 4658 f nery 04mai2018
Agir webinar res 4658 f nery 04mai2018Fernando Nery
 
Business Intelligence - Prática e Experiências
Business Intelligence - Prática e ExperiênciasBusiness Intelligence - Prática e Experiências
Business Intelligence - Prática e ExperiênciasMauricio Cesar Santos da Purificação
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
 
Os Desafios na Gestão de Roadmap de Produto em Times Ágeis (Scrum Gathering R...
Os Desafios na Gestão de Roadmap de Produto em Times Ágeis (Scrum Gathering R...Os Desafios na Gestão de Roadmap de Produto em Times Ágeis (Scrum Gathering R...
Os Desafios na Gestão de Roadmap de Produto em Times Ágeis (Scrum Gathering R...Rafael Helm
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosRafael Maia
 
Governança de TI - Aula7 - COBIT 4.1 X COBIT 5
Governança de TI - Aula7 - COBIT 4.1 X COBIT 5Governança de TI - Aula7 - COBIT 4.1 X COBIT 5
Governança de TI - Aula7 - COBIT 4.1 X COBIT 5CEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 

Mais conteúdo relacionado

Semelhante a Gestão de vulnerabilidades

(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Recuperação de projetos em crise
Recuperação de projetos em criseRecuperação de projetos em crise
Recuperação de projetos em criseSilas Serpa
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Pedro Garcia
 
Palestra apresentada na Econofarma SP 2014 pelo consultor convidado Anderson ...
Palestra apresentada na Econofarma SP 2014 pelo consultor convidado Anderson ...Palestra apresentada na Econofarma SP 2014 pelo consultor convidado Anderson ...
Palestra apresentada na Econofarma SP 2014 pelo consultor convidado Anderson ...Gunnebo Brasil
 
5S - Curso Completo - Módulo 2.1 - Implantação.ppt
5S - Curso Completo - Módulo 2.1 - Implantação.ppt5S - Curso Completo - Módulo 2.1 - Implantação.ppt
5S - Curso Completo - Módulo 2.1 - Implantação.pptFabriciaDaSilva5
 
Estratégias de Segurança e Gerenciamento para MySQL
Estratégias de Segurança e Gerenciamento para MySQLEstratégias de Segurança e Gerenciamento para MySQL
Estratégias de Segurança e Gerenciamento para MySQLMySQL Brasil
 
Palestra sescon 2011 - A importância dos controle internos e contábeis na ges...
Palestra sescon 2011 - A importância dos controle internos e contábeis na ges...Palestra sescon 2011 - A importância dos controle internos e contábeis na ges...
Palestra sescon 2011 - A importância dos controle internos e contábeis na ges...MASSI Consultoria e Treinamento
 
DXTEC: Uma breve abordagem sobre alta disponibilidade em bancos de dados
DXTEC: Uma breve abordagem sobre alta disponibilidade em bancos de dadosDXTEC: Uma breve abordagem sobre alta disponibilidade em bancos de dados
DXTEC: Uma breve abordagem sobre alta disponibilidade em bancos de dadosFranky Weber Faust
 
Segredos de Uma Avaliação em Governança de TI
Segredos de Uma Avaliação em Governança de TISegredos de Uma Avaliação em Governança de TI
Segredos de Uma Avaliação em Governança de TIFernando Palma
 
Os 10 Maiores Erros na Documentação de Processos
Os 10 Maiores Erros na Documentação de ProcessosOs 10 Maiores Erros na Documentação de Processos
Os 10 Maiores Erros na Documentação de Processoswingscreative
 
Agir webinar res 4658 f nery 04mai2018
Agir webinar res 4658 f nery 04mai2018Agir webinar res 4658 f nery 04mai2018
Agir webinar res 4658 f nery 04mai2018Fernando Nery
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
 
Os Desafios na Gestão de Roadmap de Produto em Times Ágeis (Scrum Gathering R...
Os Desafios na Gestão de Roadmap de Produto em Times Ágeis (Scrum Gathering R...Os Desafios na Gestão de Roadmap de Produto em Times Ágeis (Scrum Gathering R...
Os Desafios na Gestão de Roadmap de Produto em Times Ágeis (Scrum Gathering R...Rafael Helm
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosRafael Maia
 

Semelhante a Gestão de vulnerabilidades (20)

(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
Recuperação de projetos em crise
Recuperação de projetos em criseRecuperação de projetos em crise
Recuperação de projetos em crise
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)
 
Palestra apresentada na Econofarma SP 2014 pelo consultor convidado Anderson ...
Palestra apresentada na Econofarma SP 2014 pelo consultor convidado Anderson ...Palestra apresentada na Econofarma SP 2014 pelo consultor convidado Anderson ...
Palestra apresentada na Econofarma SP 2014 pelo consultor convidado Anderson ...
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
CNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento SeguroCNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento Seguro
 
5S - Curso Completo - Módulo 2.1 - Implantação.ppt
5S - Curso Completo - Módulo 2.1 - Implantação.ppt5S - Curso Completo - Módulo 2.1 - Implantação.ppt
5S - Curso Completo - Módulo 2.1 - Implantação.ppt
 
Estratégias de Segurança e Gerenciamento para MySQL
Estratégias de Segurança e Gerenciamento para MySQLEstratégias de Segurança e Gerenciamento para MySQL
Estratégias de Segurança e Gerenciamento para MySQL
 
Gestão Global de Riscos: case de sucesso
Gestão Global de Riscos: case de sucessoGestão Global de Riscos: case de sucesso
Gestão Global de Riscos: case de sucesso
 
Palestra sescon 2011 - A importância dos controle internos e contábeis na ges...
Palestra sescon 2011 - A importância dos controle internos e contábeis na ges...Palestra sescon 2011 - A importância dos controle internos e contábeis na ges...
Palestra sescon 2011 - A importância dos controle internos e contábeis na ges...
 
DXTEC: Uma breve abordagem sobre alta disponibilidade em bancos de dados
DXTEC: Uma breve abordagem sobre alta disponibilidade em bancos de dadosDXTEC: Uma breve abordagem sobre alta disponibilidade em bancos de dados
DXTEC: Uma breve abordagem sobre alta disponibilidade em bancos de dados
 
Segredos de Uma Avaliação em Governança de TI
Segredos de Uma Avaliação em Governança de TISegredos de Uma Avaliação em Governança de TI
Segredos de Uma Avaliação em Governança de TI
 
Os 10 Maiores Erros na Documentação de Processos
Os 10 Maiores Erros na Documentação de ProcessosOs 10 Maiores Erros na Documentação de Processos
Os 10 Maiores Erros na Documentação de Processos
 
Agir webinar res 4658 f nery 04mai2018
Agir webinar res 4658 f nery 04mai2018Agir webinar res 4658 f nery 04mai2018
Agir webinar res 4658 f nery 04mai2018
 
Business Intelligence - Prática e Experiências
Business Intelligence - Prática e ExperiênciasBusiness Intelligence - Prática e Experiências
Business Intelligence - Prática e Experiências
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
 
Os Desafios na Gestão de Roadmap de Produto em Times Ágeis (Scrum Gathering R...
Os Desafios na Gestão de Roadmap de Produto em Times Ágeis (Scrum Gathering R...Os Desafios na Gestão de Roadmap de Produto em Times Ágeis (Scrum Gathering R...
Os Desafios na Gestão de Roadmap de Produto em Times Ágeis (Scrum Gathering R...
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por Processos
 
Governança de TI - Aula7 - COBIT 4.1 X COBIT 5
Governança de TI - Aula7 - COBIT 4.1 X COBIT 5Governança de TI - Aula7 - COBIT 4.1 X COBIT 5
Governança de TI - Aula7 - COBIT 4.1 X COBIT 5
 

Gestão de vulnerabilidades

Notas do Editor

  1. Apoio na correção das vulnerabilidades pelas equipes responsáveis Infraestrutura Patch (corrigi diversas vulnerabilidades) APP Web e Mobile Correções demandam mais esforço e conhecimento Definição de SLA
  2. Difícil gestão sobre a planilha, quando a mesma precisa ser compartilhada entre diversas equipes
  3. Manter histórico atualizado durante todo o Ciclo de Vida da Vulnerabilidade