Segurança física e lógica e análise de vunerabilidade (abnt)
Semelhante a TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we had a SRE team at - Segurança da informação, desafio e códigos
Semelhante a TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we had a SRE team at - Segurança da informação, desafio e códigos (20)
2. Globalcode – Open4education
Agenda
SecInfo x ITSec
SDL
SD3+C
O que é suficiente
Dev não garante a segurança
Sonhada Estrutura
O que eles fazem? Qual pizza eles comem?
Preciso de um líder?
3. Globalcode – Open4education
ITSec
A segurança em TI tem um papel estratégico nas organizações, pois é
ela a responsável pelos processos de proteção de toda a estrutura da
tecnologia de uma empresa, como:
Bancos de dados;
Servidores;
Data centers;
Serviços de proteção de dados, entre outros.
4. Globalcode – Open4education
SecInfo
A segurança da informação não é um conjunto de ferramentas,
estratégias e políticas de segurança que visam proteger a empresa de
vários problemas. Alguns de seus objetivos são:
Proteção e prevenção contra ataques virtuais aos sistemas corporativos;
Prevenção e detecção de vulnerabilidades na área de TI da empresa;
Proteção das informações alocadas em ambientes virtuais da organização;
Implementação de políticas de uso de dados na empresa;
Prevenção do acesso de pessoas não autorizadas aos dados corporativos e
sigilosos.
5. Globalcode – Open4education
ITSec x SecInfo = Segurança Corporativa
A segurança de TI é focada em manter a segurança dos sistemas operacionais e
da infraestrutura de TI da empresa, enquanto a segurança da informação é
um conceito que vai muito além e tem como objetivo proteger os dados e
informações corporativas em si de ataques e ameaças. Normalmente em
estruturas maiores a ITSeg é um sub-estrutura da Segurança da Informação.
Na prática são complementares.
Ambos trabalham de forma conjunta para blindar equipamentos, servidores,
softwares e redes corporativas contra quaisquer problemas.
6. Globalcode – Open4education
SDL
É um processo que consiste na inserção de várias atividades e produtos
relacionados a segurança na fase de desenvolvimento de software, como
modelagem de ameaças, análise estática do código com uso de ferramentas,
revisão de código, testes de segurança direcionados e uma revisão final de
segurança, minimizando o surgimento de vulnerabilidades
7. Globalcode – Open4education
O que é SD3+C
Seguro por Projeto (Design)
Seguro por Padrão (Default)
Seguro na Implantação (Deployment)
Comunicações
Todos os elementos do SD3+C impõem requisitos no processo de desenvolvimento, mas os dois
primeiros elementos, seguro por design e seguro por padrão, fornecem as maiores vantagens de
segurança. Seguro por design determina os processos que têm por objetivo impedir a introdução de
vulnerabilidades em primeiro lugar, enquanto seguro por padrão requer que a exposição padrão do
software, sua superfície de ataque, seja minimizada.
8. Globalcode – Open4education
O que é suficiente?
A adoção de um modelo de desenvolvimento seguro, buscando práticas que permitam o
desenvolvimento de um software estável e com poucas falhas ajudando o time de TI, assim seu
sistema será lançado sem falhas graves de segurança em infraestrutura e desenvolvimento. Isso
diminui a possibilidade dos dados de segurança do usuário — e da sua empresa — ficarem
vulneráveis.
Em um mundo onde pessoas mal-intencionadas trabalham buscando por brechas que permitam a
obtenção de dados pessoais e corporativos, o cuidado com a segurança deve passar por todas as
etapas de criação de um software e ser incorporado no cotidiano dos profissionais de
Desenvolvimento.
Prevenir é sempre melhor que Remediar
9. Globalcode – Open4education
Garantir a segurança não é função do Dev!!
Sim é verdade! *rs
Arrume um cara com foco em Segurança de Software!!!! Sua
função é Desenvolver maravilhas na programação, se preocupar
com a segurança é o ideal mas seu foco é melhorar a vida do
cliente interno ou externo através de códigos memoráveis.
10. Globalcode – Open4education
Como é essa estrutura?
CSO
Offensive Security
Defensive Security
SIC – SOC/NOC é coisa do Passado! SIC é o futuro...
Controles
Investigações
11. Globalcode – Open4education
O que eles fazem?
Offensive Security – Essa área olha para o seu software como um potencial atacante (um devil
hacker como as mídias costumam representar), buscando todas as vulnerabilidades possíveis.
Defensive Security - Encontrando formas de inserir na arquitetura meios para garantir que todos os
princípios de segurança necessários ao seu sistema sejam atendidos. Assegurar princípios como os
de Menor por categoria de usuário), Defesa em Profundidade (instalando múltiplas camadas de
defesa coPrivilégio (limite de acesso contra ataques) e Economia de Mecanismo (garantia da
simplicidade dos controles de segurança)
SIC – Monitorar e tomar as primeiras providências em qualquer situação, são os braços operacionais
do organismo segurança
Controles – Desenvolver e documentar normas, políticas, arquiteturas e padrões a serem adotados
em todos os projetos e setores da Cia (Estamos falando de Segurança da Informação) garantindo a
segurança documentada e apoiada pela diretoria
Investigações – Além da famosa reposta a Incidentes esses caras são responsáveis por apoiar o
jurídico e atividades e ações que visam combater o cybercrime e a pirataria digital.
12. Globalcode – Open4education
E o CSO?
Ele deverá entender a fundo do técnico e ler esse artigo para fazer dele um mantra na vida dos outros
executivos da Cia:
http://blog.conviso.com.br/seguranca-de-aplicacoes-conheca-os-7-mitos/
Mito #1. “O desenvolvedor web sempre irá fornecer sistemas seguros”
Mito #2. “Só hackers e especialistas conseguem explorar as vulnerabilidades de aplicações web”
Mito #3. “Em aplicações internas, as falhas não são importantes”
Mito #4. “O firewall protege o computador de ataques externos”
Mito #5. “Selos de proteção protegem o seu site de ataques”
Mito #6. “SSL e criptografia de dados tornam as aplicações web mais seguras”
Mito #7. “Aplicações de marcas conhecidas são confiáveis”