SlideShare ist ein Scribd-Unternehmen logo

Segurança Na Internet

Anchises Moraes
Anchises Moraes

Palestra ministrada para alunos da FATEC-SP em Out. de 2009 sobre as principais ameaças e tendências de Segurança na Internet, além de algumas dicas de proteção.

Technologie
1 von 54
Downloaden Sie, um offline zu lesen
Segurança no mundo Internet Ameaças, Tendências e Proteção FATEC-SP Outubro / 2009 Anchises M. G. de Paula
Agenda Visão Geral de Segurança – Porque a necessidade de segurança? – Evolução Histórica – Casos reais Segurança da Informação – Segurança Corporativa – Security Officer – O profissional consciente Recomendações Finais Foto: sxc.hu 2 2
Visão Geral de Segurança Porque a necessidade de segurança? Evolução Histórica Casos reais 3
Cenário atual Internet presente na vida de todos – Relacionamento – Pessoal e Negócios Ambiente de negócio dinâmico – Dependência crescente da tecnologia – Informação é diferencial competitivo – Velocidade na tomada de decisão Tecnologias novas e complexas Crescimento dos RISCOS – Falhas, ataques, fraudes etc. 4 4
A Internet para o Negócio 67 milhões de usuários de Internet em 2009 – 32,5 milhões de usuários de Internet Banking – 8 bilhões de transações bancárias on-line (18,1% do total). – 13 milhões de compradores on- line. – Vendas online vão atingir R$ 10 bilhões em 2009 Fontes: Foto: sxc.hu Folha On-line, Febraban, Camara e-Net, E-bit 5 5
A Internet é Insegura Projeto inicial sem grande preocupação com a segurança – Inicialmente um projeto acadêmico-militar – Surgiu com foco na disponibilidade da rede Grande quantidade de alvos e atacantes – Crescimento exponencial – Diversidade de tecnologias – Dificuldade em manter sistemas livres de falha – Facilidade de acesso (qualquer lugar do mundo) Sensação de anonimato e impunidade Foto: sxc.hu 6 6
Principais ameaças ao negócio Vírus 66% Funcionários insatisfeitos 53% Divulgação de senhas 51% Acessos indevidos 49% Vazamento de informações 47% Fraudes, erros e acidentes 41% Hackers 39% Falhas na segurança física 37% Uso de notebooks 31% Fraudes em e-mail 29% Fonte: 9a Pesquisa Módulo 7 7
Perdas Financeiras R$ 300 milhões de perdas por fraude bancária on-line em 2006. Nos EUA, 2 em cada 5 empresas paralisadas por hackers vão à falência em menos de 3 anos depois. (Fonte: Disaster Recovery Institute) Foto: pptdigital 8 8
É fácil atacar Existem hoje à disposição: – Milhares de web sites sobre ataques e download de ferramentas na Internet – Centenas de salas de discussão (mIRC) – Publicações especializadas para Hackers (e-zines) e para iniciantes (cursos, revistas, sites) – Milhões de equipamentos vulneráveis (servidores e desktops). 9 9
É fácil aprender a “hackear” Milhares de sites – www.rootshell.com – www.astalavista.com – Google, Youtube Centenas de revistas, livros, tutoriais, e-zines, canais de bate- papo, etc – www.2600.com – www.phrack.org Eventos – www.defcon.org 10 10
É fácil aprender a “hackear” Ferramentas de fácil uso 11 11
Vários tipos de Atacantes Hacker Cracker Script Kid, Lammer, One-click hacker Cyber criminosos – Fraudadores, “Carder” Espião Terrorista Vândalo 12 12
Ameaças: evolução Década de 80 - ataques individuais e isolados – Senhas comprometidas – Invasões via conexões dial-up – phreaking Década de 90 - ataques sofisticados – Sniffers, IP spoofing, SPAM, Vírus – Defacements de websites – Atacantes na maioria amadores Ano 2000 - ataques distribuídos – DDoS (Distributed Deny of service) – Worms (vermes) – Atacantes se profissionalizam 13 13
Ameaças: evolução Hoje - Cybercrime – Crimes financeiros na Internet – Ataques a usuários finais – Phishing Scan – fraudes online – Sites falsos – Keyloggers, rootkits – Botnets – Ataques – Hacking for hire – Guerra eletrônica 14 14
Dinheiro é o Motivo Fraude em Internet Click Fraud Phishing Banking e Pharming Laranjas Fraude de Cartões de Créditos Extorsão Ad/Spyware Roubo CD Keys Espionagem Hackers for Hire Industrial Pirataria 15 15
Páginas Invadidas – exemplos clássicos Departamento de Justiça (USA) August 17, 1996 16 16
Páginas Invadidas – exemplos clássicos UNICEF January 7, 1998 17 17
Páginas Invadidas Associação de Futebol Argentino (AFA) September 14, 2009 18 18
Páginas Invadidas Governo do Mexico October 06, 2009 19 19
Histórias de terror IDG Now 01/09/2003 20 20
Histórias de terror IDG Now 03/10/2003 21 21
Histórias de terror Plantão INFO Mar/07 22 22
Histórias de terror BBC maio/2007 23 23
Histórias de terror CSO Online set/2007 24 24
Histórias de terror Computerworld 20/mar/2008 25 25
Spam 26 26
Phishing Scam Forma de ataque muito comum hoje em dia Engana o usuário para roubar seus dados e usar em futuras fraudes financeiras 27 27
Phishing Scam 28 28
Phishing Scam 29 29
Luz no fim do túnel IDG Now 17/08/2007 30 30
Luz no fim do túnel 28/05/2009 31 31
Segurança da Informação Segurança Corporativa Security Officer O profissional consciente 32
O que é Segurança segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, confiar firmeza, convicção. seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, risco protegido garantido. 8. Em quem se pode confiar. 9. confiar Certo, indubitável, incontestável. 10. Eficaz, eficiente. [Dicionário Aurélio] 33 33
Para que ter Segurança da Informação “A Segurança da Informação deve existir para garantir a continuidade dos negócios das empresas e minimizar danos através da prevenção e redução dos impactos causados por incidentes de segurança. (...) Ela possui três componentes básicos: confidencialidade, integridade e disponibilidade.” [BS7799: British Standard Institute, 1995] 34 34
O que proteger Os dados (informações) – Planejamentos, estratégias – Bases de dados, cadastros – Dados administrativos Recursos – Hardware e a infra-estrutura – Software Funcionários Imagem e Reputação Foto: sxc.hu 35 35
Elementos da Segurança Corporativa Política de segurança, Normas e Procedimentos – Análise de riscos Ferramentas Tecnológicas Segurança Física Foto: sxc.hu 36 36
Legislação e Normas Padrões internacionais – ISO 27001 (ISO 17799), Cobit, Coso, ITIL – Convenção de Budapeste Leis e regulamentações locais – PCI, Basiléia II, Sarbanes-Oxley – Novo Código Civil, Regulamentações do Banco Central do Brasil (BACEN) e Conselho de Valores Mobiliários (CVM) 37 37
Security Officer 38 38
Security Officer Profissional responsável pelas atividades relacionada a segurança e gestão de risco, tais como: – Gerenciar a Segurança Corporativa – Definir políticas, normas e procedimentos – Implantar e administrar tecnologias de segurança – Controlar acessos de usuários – Auditoria – Prevenir, impedir e responder a ataques 39 39
Profissional de segurança da informação Vários campos de atuação: – Pesquisa em segurança – Vulnerabilidades, ataques, criptografia, etc – Estratégia e Gestão de segurança – Ferramentas e tecnologias de segurança – Firewall, IDS, antivírus, etc – Desenvolvimento / Auditoria de código – Resposta a incidentes (ataques) – Investigação forense – Leis, Normas e ética – Auditoria 40 40
Perfil Origem e formação de duas formas distintas: – Técnica – Profissionais de TI especializados em segurança – Suporte em TI (servidores, redes, etc) – Desenvolvimento – “ex-hackers” – Administrativa (Processual / Auditoria / Leis) – Gestão de TI, Elaboração de Processos – Auditoria, Análise de Riscos – Advogados especializados 41 41
Ética Profissional Comportamento ético é muito importante na profissão – Cargos de confiança – Acesso a informações sigilosas – Participação de investigações e sindicâncias internas Cuidado com a imagem – Atuar eticamente – Postura ética: mensagens em listas de discussão, Orkut, etc 42 42
Ética Profissional Pecados durante contratação: – mentiras sobre qualificações (31%) – baixo nível de comunicação (25%) – relações com comportamento criminoso (24%) – relatos ofendendo o emprego anterior ou revelando uso de drogas (19%) 43 43
Atualização Profissional Necessidade de atualização contínua – Novas tecnologias – Novas vulnerabilidades e ameaças Como? – Listas de discussão – Cursos, treinamentos e certificações – Participar de associações profissionais – ISSA, ISACA, OWASP – Participação em eventos de qualidade 44 44
Recomendações Finais 45
Recomendações Finais Para a Empresa – A preocupação com segurança deve permear toda a organização – Segurança como diferencial competitivo – Análise de riscos – Segregação de ambientes (produção, desenvolvimento e testes) – Atualização dos sistemas – Processos, normas e procedimentos – Legislação – Normas internas Foto: arquivo pessoal – “Termo de responsabilidade” – Treinamento e Conscientização 46 46
Recomendações finais Para nós (profissionais de TI) – Todos temos uma parcela de responsabilidade – Ética – Preocupação com segurança – Correta instalação e configuração de sistemas – Manter os sistemas atualizados – Qualidade no desenvolvimento de software – KISS (Keep it Simple, Stupid) Foto: arquivo pessoal – Processos, normas, procedimentos 47 47
Recomendações finais (Futuros) Profissionais de TI – Desenvolvedores e arquitetos de software – Boas práticas Arquitetura de software Controle de versão Testes – Desenvolvimento de código seguro Foto: sxc.hu 48 48
Recomendações finais (Futuros) Profissionais de TI – Administradores de sistemas, BDs e redes – Boas práticas de configuração dos equipamentos – Atualização constante – Monitoração e auditoria – Backup, redundância Foto: sxc.hu 49 49
Recomendações finais Para nós (usuários finais) – Manter o micro atualizado (Windows update) – Antivírus Atualizado – Personal Firewall, antispyware, foto de santinho – Não acreditar em tudo o que vê – Nunca clicar em links nem abrir anexo de e-mails suspeitos (ou não explicitamente desejados) – Cuidado com suas senhas – Não conte para ninguém – Use senhas “fortes” – Cuidado com micros que você não conhece – Cuidado ao instalar softwares estranhos 50 50
Recomendações finais Para nós (pais) – Computador não é “Tecnlogia acalma criança” – Manter diálogo aberto com os filhos sobre o uso e riscos da Internet – Cuidado com seu filho falando com estranhos – Cuidado com seu filho falando com mais velhos – Manter o computador na sala, onde pode ser monitorado – Impor limites – ex: não pode ver TV nem computador Foto: sxc.hu após as 22hs 51 51
Recomendações finais Para nós (filhos) – Não confiar no que você recebe pela Internet – Não falar com estranhos – Não abrir e-mail de estranhos – Não clicar em links (de) estranhos – Não informar dados pessoais – Cuidado com páginas pessoais, scraps, blogs – Cuidado com sua privacidade e de seus amigos – Dados, fotos, mensagens Foto: sxc.hu 52 52
Referências www.cert.br Blogs sobre Segurança www.modulo.com.br www.naopod.com.br www.navegueprotegido.org infosecfeeds.blogspot.com www.cert.org www.sans.org www.issa.org www.owasp.org www.microsoft.com/security www.microsoft.com/technet/security msdn.microsoft.com/security (Security Developer Center) msdn.microsoft.com/security/securecode (Writing Secure Code) www.microsoft.com/athome/security (Security at home) 53 53
Obrigado :) Anchises M. G. de Paula Analista de Inteligência iDefense – VeriSign Anchisesbr at gmail.com http://anchisesbr.blogspot.com www.verisign.com 54 54

Empfohlen

Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Spark Security
 
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...Pedro Ivo Lima
 
O cientista de dados, o mundo corporativo e a análise preditiva
O cientista de dados, o mundo corporativo e a análise preditiva O cientista de dados, o mundo corporativo e a análise preditiva
O cientista de dados, o mundo corporativo e a análise preditiva Plugged Research
 
3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacional3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacionalLucas Mellos Carlos
 
A ameaça real do Phishing em nossas vidas.
A ameaça real do Phishing em nossas vidas.A ameaça real do Phishing em nossas vidas.
A ameaça real do Phishing em nossas vidas.Pedro Ivo Lima
 
Ethical hacker
Ethical hackerEthical hacker
Ethical hackerIntellecta
 
PenTest com Kali Linux - FLISOL DF 2014
PenTest com Kali Linux - FLISOL DF 2014PenTest com Kali Linux - FLISOL DF 2014
PenTest com Kali Linux - FLISOL DF 2014Alcyon Ferreira de Souza Junior, MSc
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoRodrigo Bueno Santa Maria, BS, MBA
 

Empfohlen

Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Spark Security
 
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...Pedro Ivo Lima
 
O cientista de dados, o mundo corporativo e a análise preditiva
O cientista de dados, o mundo corporativo e a análise preditiva O cientista de dados, o mundo corporativo e a análise preditiva
O cientista de dados, o mundo corporativo e a análise preditiva Plugged Research
 
3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacional3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacionalLucas Mellos Carlos
 
A ameaça real do Phishing em nossas vidas.
A ameaça real do Phishing em nossas vidas.A ameaça real do Phishing em nossas vidas.
A ameaça real do Phishing em nossas vidas.Pedro Ivo Lima
 
Ethical hacker
Ethical hackerEthical hacker
Ethical hackerIntellecta
 
PenTest com Kali Linux - FLISOL DF 2014
PenTest com Kali Linux - FLISOL DF 2014PenTest com Kali Linux - FLISOL DF 2014
PenTest com Kali Linux - FLISOL DF 2014Alcyon Ferreira de Souza Junior, MSc
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoRodrigo Bueno Santa Maria, BS, MBA
 
Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoISH Tecnologia
 
Nova era-crypto-jacking
Nova era-crypto-jackingNova era-crypto-jacking
Nova era-crypto-jackingPedro Tavares
 
Engenharia social
Engenharia socialEngenharia social
Engenharia socialKurte Wagner
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
Cartilha de Segurança Digital
Cartilha de Segurança DigitalCartilha de Segurança Digital
Cartilha de Segurança DigitalVictor Neves
 
Cibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasCibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasRuy De Queiroz
 
Cybersecurty for People - PhishX Summit de Maio/2018
Cybersecurty for People - PhishX Summit de Maio/2018Cybersecurty for People - PhishX Summit de Maio/2018
Cybersecurty for People - PhishX Summit de Maio/2018PhishX
 
Cartilha de Segurança para Internet - Fraudes
Cartilha de Segurança para Internet - FraudesCartilha de Segurança para Internet - Fraudes
Cartilha de Segurança para Internet - FraudesCentral Info
 
[CLASS 2014] Palestra Técnica - William Beer
[CLASS 2014] Palestra Técnica - William Beer[CLASS 2014] Palestra Técnica - William Beer
[CLASS 2014] Palestra Técnica - William BeerTI Safe
 
Projeto_site_1
Projeto_site_1Projeto_site_1
Projeto_site_1giovannimonaro
 
Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...
Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...
Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...PhishX
 
Análise e comparação de tipos e ataques em servidores brasileiros
Análise e comparação de tipos e ataques em servidores brasileirosAnálise e comparação de tipos e ataques em servidores brasileiros
Análise e comparação de tipos e ataques em servidores brasileirosGledson Scotti
 
Capitulo9788575221365
Capitulo9788575221365Capitulo9788575221365
Capitulo9788575221365Alex Andrade Amorim
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualBruno Felipe
 
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Luiz Arthur
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãLuiz Arthur
 
PenTest com Kali Linux - Palestra na UPIS 2014
PenTest com Kali Linux - Palestra na UPIS 2014PenTest com Kali Linux - Palestra na UPIS 2014
PenTest com Kali Linux - Palestra na UPIS 2014Alcyon Ferreira de Souza Junior, MSc
 
Cyber Security - Aula 1
Cyber Security - Aula 1Cyber Security - Aula 1
Cyber Security - Aula 1VicenteTino
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na InternetAnchises Moraes
 
Seguranca - básico
Seguranca - básicoSeguranca - básico
Seguranca - básicoJErickPPTs
 
Workshop de Auditoria & Segurança - Universidade Católica Portuguesa - 5 de M...
Workshop de Auditoria & Segurança - Universidade Católica Portuguesa - 5 de M...Workshop de Auditoria & Segurança - Universidade Católica Portuguesa - 5 de M...
Workshop de Auditoria & Segurança - Universidade Católica Portuguesa - 5 de M...Joao Barreto Fernandes
 
Trabalho de Sistemas para internet
Trabalho de Sistemas para internetTrabalho de Sistemas para internet
Trabalho de Sistemas para internetsi03grupo1
 

Weitere ähnliche Inhalte

Was ist angesagt?

Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoISH Tecnologia
 
Nova era-crypto-jacking
Nova era-crypto-jackingNova era-crypto-jacking
Nova era-crypto-jackingPedro Tavares
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
Cartilha de Segurança Digital
Cartilha de Segurança DigitalCartilha de Segurança Digital
Cartilha de Segurança DigitalVictor Neves
 
Cibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasCibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasRuy De Queiroz
 
Cybersecurty for People - PhishX Summit de Maio/2018
Cybersecurty for People - PhishX Summit de Maio/2018Cybersecurty for People - PhishX Summit de Maio/2018
Cybersecurty for People - PhishX Summit de Maio/2018PhishX
 
Cartilha de Segurança para Internet - Fraudes
Cartilha de Segurança para Internet - FraudesCartilha de Segurança para Internet - Fraudes
Cartilha de Segurança para Internet - FraudesCentral Info
 
[CLASS 2014] Palestra Técnica - William Beer
[CLASS 2014] Palestra Técnica - William Beer[CLASS 2014] Palestra Técnica - William Beer
[CLASS 2014] Palestra Técnica - William BeerTI Safe
 
Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...
Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...
Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...PhishX
 
Análise e comparação de tipos e ataques em servidores brasileiros
Análise e comparação de tipos e ataques em servidores brasileirosAnálise e comparação de tipos e ataques em servidores brasileiros
Análise e comparação de tipos e ataques em servidores brasileirosGledson Scotti
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualBruno Felipe
 
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Luiz Arthur
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãLuiz Arthur
 
Cyber Security - Aula 1
Cyber Security - Aula 1Cyber Security - Aula 1
Cyber Security - Aula 1VicenteTino
 

Was ist angesagt? (18)

Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informação
 
Nova era-crypto-jacking
Nova era-crypto-jackingNova era-crypto-jacking
Nova era-crypto-jacking
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
Cartilha de Segurança Digital
Cartilha de Segurança DigitalCartilha de Segurança Digital
Cartilha de Segurança Digital
 
Cibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasCibersegurança na Internet das Coisas
Cibersegurança na Internet das Coisas
 
Cybersecurty for People - PhishX Summit de Maio/2018
Cybersecurty for People - PhishX Summit de Maio/2018Cybersecurty for People - PhishX Summit de Maio/2018
Cybersecurty for People - PhishX Summit de Maio/2018
 
Cartilha de Segurança para Internet - Fraudes
Cartilha de Segurança para Internet - FraudesCartilha de Segurança para Internet - Fraudes
Cartilha de Segurança para Internet - Fraudes
 
[CLASS 2014] Palestra Técnica - William Beer
[CLASS 2014] Palestra Técnica - William Beer[CLASS 2014] Palestra Técnica - William Beer
[CLASS 2014] Palestra Técnica - William Beer
 
Projeto_site_1
Projeto_site_1Projeto_site_1
Projeto_site_1
 
Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...
Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...
Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...
 
Análise e comparação de tipos e ataques em servidores brasileiros
Análise e comparação de tipos e ataques em servidores brasileirosAnálise e comparação de tipos e ataques em servidores brasileiros
Análise e comparação de tipos e ataques em servidores brasileiros
 
Capitulo9788575221365
Capitulo9788575221365Capitulo9788575221365
Capitulo9788575221365
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
 
PenTest com Kali Linux - Palestra na UPIS 2014
PenTest com Kali Linux - Palestra na UPIS 2014PenTest com Kali Linux - Palestra na UPIS 2014
PenTest com Kali Linux - Palestra na UPIS 2014
 
Cyber Security - Aula 1
Cyber Security - Aula 1Cyber Security - Aula 1
Cyber Security - Aula 1
 

Ähnlich wie Segurança Na Internet

Seguranca - básico
Seguranca - básicoSeguranca - básico
Seguranca - básicoJErickPPTs
 
Workshop de Auditoria & Segurança - Universidade Católica Portuguesa - 5 de M...
Workshop de Auditoria & Segurança - Universidade Católica Portuguesa - 5 de M...Workshop de Auditoria & Segurança - Universidade Católica Portuguesa - 5 de M...
Workshop de Auditoria & Segurança - Universidade Católica Portuguesa - 5 de M...Joao Barreto Fernandes
 
Trabalho de Sistemas para internet
Trabalho de Sistemas para internetTrabalho de Sistemas para internet
Trabalho de Sistemas para internetsi03grupo1
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_webFavsro Fot
 
Palestra Segurança na Internet
Palestra Segurança na InternetPalestra Segurança na Internet
Palestra Segurança na Internetjamillerodrigues
 
SITI- Cibercrime - Fraudes com o Cartão de Crédito
SITI- Cibercrime - Fraudes com o Cartão de CréditoSITI- Cibercrime - Fraudes com o Cartão de Crédito
SITI- Cibercrime - Fraudes com o Cartão de CréditoVinicius Dantas Dos Santos
 
Symantec - Inovação Hacker: de espionagem industrial por drones a estímulos m...
Symantec - Inovação Hacker: de espionagem industrial por drones a estímulos m...Symantec - Inovação Hacker: de espionagem industrial por drones a estímulos m...
Symantec - Inovação Hacker: de espionagem industrial por drones a estímulos m...Symantec Brasil
 
ViolaçãO Da Privacidade
ViolaçãO Da PrivacidadeViolaçãO Da Privacidade
ViolaçãO Da Privacidadejoaozinhu
 
Seminário Web Symantec
Seminário Web SymantecSeminário Web Symantec
Seminário Web Symantectechsoupbrasil
 
Engenharia social senai - ppt
Engenharia social senai - pptEngenharia social senai - ppt
Engenharia social senai - pptCarlos Melo
 
Segurança das Informações e Continuidade dos negócios
Segurança das Informações e Continuidade dos negóciosSegurança das Informações e Continuidade dos negócios
Segurança das Informações e Continuidade dos negóciosFernando Battistini
 
GTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e LegislaçãoGTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e LegislaçãoFelipe Pereira
 
Evolução Tecnológica e a (Falta de) Educação dos Usuários Finais
Evolução Tecnológica e a (Falta de) Educação dos Usuários FinaisEvolução Tecnológica e a (Falta de) Educação dos Usuários Finais
Evolução Tecnológica e a (Falta de) Educação dos Usuários FinaisFecomercioSP
 
ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...
ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...
ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...ExpoGestão
 

Ähnlich wie Segurança Na Internet (20)

Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internet
 
Seguranca - básico
Seguranca - básicoSeguranca - básico
Seguranca - básico
 
Workshop de Auditoria & Segurança - Universidade Católica Portuguesa - 5 de M...
Workshop de Auditoria & Segurança - Universidade Católica Portuguesa - 5 de M...Workshop de Auditoria & Segurança - Universidade Católica Portuguesa - 5 de M...
Workshop de Auditoria & Segurança - Universidade Católica Portuguesa - 5 de M...
 
Trabalho de Sistemas para internet
Trabalho de Sistemas para internetTrabalho de Sistemas para internet
Trabalho de Sistemas para internet
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_web
 
Palestra Segurança na Internet
Palestra Segurança na InternetPalestra Segurança na Internet
Palestra Segurança na Internet
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
SITI- Cibercrime - Fraudes com o Cartão de Crédito
SITI- Cibercrime - Fraudes com o Cartão de CréditoSITI- Cibercrime - Fraudes com o Cartão de Crédito
SITI- Cibercrime - Fraudes com o Cartão de Crédito
 
Symantec - Inovação Hacker: de espionagem industrial por drones a estímulos m...
Symantec - Inovação Hacker: de espionagem industrial por drones a estímulos m...Symantec - Inovação Hacker: de espionagem industrial por drones a estímulos m...
Symantec - Inovação Hacker: de espionagem industrial por drones a estímulos m...
 
ViolaçãO Da Privacidade
ViolaçãO Da PrivacidadeViolaçãO Da Privacidade
ViolaçãO Da Privacidade
 
Crimes digitais
Crimes digitaisCrimes digitais
Crimes digitais
 
Palestra sobre o Bom Uso da Tecnologia
Palestra sobre o Bom Uso da TecnologiaPalestra sobre o Bom Uso da Tecnologia
Palestra sobre o Bom Uso da Tecnologia
 
Apresentação - Symantec
Apresentação - SymantecApresentação - Symantec
Apresentação - Symantec
 
Seminário Web Symantec
Seminário Web SymantecSeminário Web Symantec
Seminário Web Symantec
 
Engenharia social senai - ppt
Engenharia social senai - pptEngenharia social senai - ppt
Engenharia social senai - ppt
 
Segurança das Informações e Continuidade dos negócios
Segurança das Informações e Continuidade dos negóciosSegurança das Informações e Continuidade dos negócios
Segurança das Informações e Continuidade dos negócios
 
GTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e LegislaçãoGTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e Legislação
 
Evolução Tecnológica e a (Falta de) Educação dos Usuários Finais
Evolução Tecnológica e a (Falta de) Educação dos Usuários FinaisEvolução Tecnológica e a (Falta de) Educação dos Usuários Finais
Evolução Tecnológica e a (Falta de) Educação dos Usuários Finais
 
ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...
ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...
ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03
 

Mehr von Anchises Moraes

Post pandemics threat scenario
Post pandemics threat scenarioPost pandemics threat scenario
Post pandemics threat scenarioAnchises Moraes
 
Como se proteger na internet
Como se proteger na internetComo se proteger na internet
Como se proteger na internetAnchises Moraes
 
Fatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaFatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaAnchises Moraes
 
A Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachA Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachAnchises Moraes
 
Praticas de gestão de segurança
Praticas de gestão de segurançaPraticas de gestão de segurança
Praticas de gestão de segurançaAnchises Moraes
 
Ciber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home officeCiber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home officeAnchises Moraes
 
Cyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de CoronavírusCyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de CoronavírusAnchises Moraes
 
Hunting bugs - C0r0n4con
Hunting bugs - C0r0n4conHunting bugs - C0r0n4con
Hunting bugs - C0r0n4conAnchises Moraes
 
Fintechs e os desafios de segurança
Fintechs e os desafios de segurançaFintechs e os desafios de segurança
Fintechs e os desafios de segurançaAnchises Moraes
 
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 20195 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019Anchises Moraes
 
Segurança além do Pentest
Segurança além do PentestSegurança além do Pentest
Segurança além do PentestAnchises Moraes
 
Só o Pentest não resolve!
Só o Pentest não resolve!Só o Pentest não resolve!
Só o Pentest não resolve!Anchises Moraes
 
Carreira em Segurança da Informação
Carreira em Segurança da InformaçãoCarreira em Segurança da Informação
Carreira em Segurança da InformaçãoAnchises Moraes
 
Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018Anchises Moraes
 
Como se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de SegurançaComo se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de SegurançaAnchises Moraes
 
É possível existir segurança para IoT?
É possível existir segurança para IoT?É possível existir segurança para IoT?
É possível existir segurança para IoT?Anchises Moraes
 

Mehr von Anchises Moraes (20)

Post pandemics threat scenario
Post pandemics threat scenarioPost pandemics threat scenario
Post pandemics threat scenario
 
Como se proteger na internet
Como se proteger na internetComo se proteger na internet
Como se proteger na internet
 
Fatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaFatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemia
 
A Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachA Case Study of the Capital One Data Breach
A Case Study of the Capital One Data Breach
 
Vamos caçar bugs!?
Vamos caçar bugs!?Vamos caçar bugs!?
Vamos caçar bugs!?
 
Praticas de gestão de segurança
Praticas de gestão de segurançaPraticas de gestão de segurança
Praticas de gestão de segurança
 
Ciber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home officeCiber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home office
 
Cyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de CoronavírusCyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de Coronavírus
 
Hunting bugs - C0r0n4con
Hunting bugs - C0r0n4conHunting bugs - C0r0n4con
Hunting bugs - C0r0n4con
 
Fintechs e os desafios de segurança
Fintechs e os desafios de segurançaFintechs e os desafios de segurança
Fintechs e os desafios de segurança
 
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 20195 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
 
Segurança além do Pentest
Segurança além do PentestSegurança além do Pentest
Segurança além do Pentest
 
Só o Pentest não resolve!
Só o Pentest não resolve!Só o Pentest não resolve!
Só o Pentest não resolve!
 
Carreira em Segurança da Informação
Carreira em Segurança da InformaçãoCarreira em Segurança da Informação
Carreira em Segurança da Informação
 
IoT Fofoqueiro
IoT FofoqueiroIoT Fofoqueiro
IoT Fofoqueiro
 
Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018
 
Como se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de SegurançaComo se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de Segurança
 
Deep Web e Ciber Crime
Deep Web e Ciber CrimeDeep Web e Ciber Crime
Deep Web e Ciber Crime
 
É possível existir segurança para IoT?
É possível existir segurança para IoT?É possível existir segurança para IoT?
É possível existir segurança para IoT?
 
Hacker Passport Brazil
Hacker Passport BrazilHacker Passport Brazil
Hacker Passport Brazil
 

Segurança Na Internet

  • 1. Segurança no mundo Internet Ameaças, Tendências e Proteção FATEC-SP Outubro / 2009 Anchises M. G. de Paula
  • 2. Agenda Visão Geral de Segurança – Porque a necessidade de segurança? – Evolução Histórica – Casos reais Segurança da Informação – Segurança Corporativa – Security Officer – O profissional consciente Recomendações Finais Foto: sxc.hu 2 2
  • 3. Visão Geral de Segurança Porque a necessidade de segurança? Evolução Histórica Casos reais 3
  • 4. Cenário atual Internet presente na vida de todos – Relacionamento – Pessoal e Negócios Ambiente de negócio dinâmico – Dependência crescente da tecnologia – Informação é diferencial competitivo – Velocidade na tomada de decisão Tecnologias novas e complexas Crescimento dos RISCOS – Falhas, ataques, fraudes etc. 4 4
  • 5. A Internet para o Negócio 67 milhões de usuários de Internet em 2009 – 32,5 milhões de usuários de Internet Banking – 8 bilhões de transações bancárias on-line (18,1% do total). – 13 milhões de compradores on- line. – Vendas online vão atingir R$ 10 bilhões em 2009 Fontes: Foto: sxc.hu Folha On-line, Febraban, Camara e-Net, E-bit 5 5
  • 6. A Internet é Insegura Projeto inicial sem grande preocupação com a segurança – Inicialmente um projeto acadêmico-militar – Surgiu com foco na disponibilidade da rede Grande quantidade de alvos e atacantes – Crescimento exponencial – Diversidade de tecnologias – Dificuldade em manter sistemas livres de falha – Facilidade de acesso (qualquer lugar do mundo) Sensação de anonimato e impunidade Foto: sxc.hu 6 6
  • 7. Principais ameaças ao negócio Vírus 66% Funcionários insatisfeitos 53% Divulgação de senhas 51% Acessos indevidos 49% Vazamento de informações 47% Fraudes, erros e acidentes 41% Hackers 39% Falhas na segurança física 37% Uso de notebooks 31% Fraudes em e-mail 29% Fonte: 9a Pesquisa Módulo 7 7
  • 8. Perdas Financeiras R$ 300 milhões de perdas por fraude bancária on-line em 2006. Nos EUA, 2 em cada 5 empresas paralisadas por hackers vão à falência em menos de 3 anos depois. (Fonte: Disaster Recovery Institute) Foto: pptdigital 8 8
  • 9. É fácil atacar Existem hoje à disposição: – Milhares de web sites sobre ataques e download de ferramentas na Internet – Centenas de salas de discussão (mIRC) – Publicações especializadas para Hackers (e-zines) e para iniciantes (cursos, revistas, sites) – Milhões de equipamentos vulneráveis (servidores e desktops). 9 9
  • 10. É fácil aprender a “hackear” Milhares de sites – www.rootshell.com – www.astalavista.com – Google, Youtube Centenas de revistas, livros, tutoriais, e-zines, canais de bate- papo, etc – www.2600.com – www.phrack.org Eventos – www.defcon.org 10 10
  • 11. É fácil aprender a “hackear” Ferramentas de fácil uso 11 11
  • 12. Vários tipos de Atacantes Hacker Cracker Script Kid, Lammer, One-click hacker Cyber criminosos – Fraudadores, “Carder” Espião Terrorista Vândalo 12 12
  • 13. Ameaças: evolução Década de 80 - ataques individuais e isolados – Senhas comprometidas – Invasões via conexões dial-up – phreaking Década de 90 - ataques sofisticados – Sniffers, IP spoofing, SPAM, Vírus – Defacements de websites – Atacantes na maioria amadores Ano 2000 - ataques distribuídos – DDoS (Distributed Deny of service) – Worms (vermes) – Atacantes se profissionalizam 13 13
  • 14. Ameaças: evolução Hoje - Cybercrime – Crimes financeiros na Internet – Ataques a usuários finais – Phishing Scan – fraudes online – Sites falsos – Keyloggers, rootkits – Botnets – Ataques – Hacking for hire – Guerra eletrônica 14 14
  • 15. Dinheiro é o Motivo Fraude em Internet Click Fraud Phishing Banking e Pharming Laranjas Fraude de Cartões de Créditos Extorsão Ad/Spyware Roubo CD Keys Espionagem Hackers for Hire Industrial Pirataria 15 15
  • 16. Páginas Invadidas – exemplos clássicos Departamento de Justiça (USA) August 17, 1996 16 16
  • 17. Páginas Invadidas – exemplos clássicos UNICEF January 7, 1998 17 17
  • 18. Páginas Invadidas Associação de Futebol Argentino (AFA) September 14, 2009 18 18
  • 19. Páginas Invadidas Governo do Mexico October 06, 2009 19 19
  • 20. Histórias de terror IDG Now 01/09/2003 20 20
  • 21. Histórias de terror IDG Now 03/10/2003 21 21
  • 22. Histórias de terror Plantão INFO Mar/07 22 22
  • 23. Histórias de terror BBC maio/2007 23 23
  • 24. Histórias de terror CSO Online set/2007 24 24
  • 25. Histórias de terror Computerworld 20/mar/2008 25 25
  • 26. Spam 26 26
  • 27. Phishing Scam Forma de ataque muito comum hoje em dia Engana o usuário para roubar seus dados e usar em futuras fraudes financeiras 27 27
  • 28. Phishing Scam 28 28
  • 29. Phishing Scam 29 29
  • 30. Luz no fim do túnel IDG Now 17/08/2007 30 30
  • 31. Luz no fim do túnel 28/05/2009 31 31
  • 32. Segurança da Informação Segurança Corporativa Security Officer O profissional consciente 32
  • 33. O que é Segurança segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, confiar firmeza, convicção. seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, risco protegido garantido. 8. Em quem se pode confiar. 9. confiar Certo, indubitável, incontestável. 10. Eficaz, eficiente. [Dicionário Aurélio] 33 33
  • 34. Para que ter Segurança da Informação “A Segurança da Informação deve existir para garantir a continuidade dos negócios das empresas e minimizar danos através da prevenção e redução dos impactos causados por incidentes de segurança. (...) Ela possui três componentes básicos: confidencialidade, integridade e disponibilidade.” [BS7799: British Standard Institute, 1995] 34 34
  • 35. O que proteger Os dados (informações) – Planejamentos, estratégias – Bases de dados, cadastros – Dados administrativos Recursos – Hardware e a infra-estrutura – Software Funcionários Imagem e Reputação Foto: sxc.hu 35 35
  • 36. Elementos da Segurança Corporativa Política de segurança, Normas e Procedimentos – Análise de riscos Ferramentas Tecnológicas Segurança Física Foto: sxc.hu 36 36
  • 37. Legislação e Normas Padrões internacionais – ISO 27001 (ISO 17799), Cobit, Coso, ITIL – Convenção de Budapeste Leis e regulamentações locais – PCI, Basiléia II, Sarbanes-Oxley – Novo Código Civil, Regulamentações do Banco Central do Brasil (BACEN) e Conselho de Valores Mobiliários (CVM) 37 37
  • 39. Security Officer Profissional responsável pelas atividades relacionada a segurança e gestão de risco, tais como: – Gerenciar a Segurança Corporativa – Definir políticas, normas e procedimentos – Implantar e administrar tecnologias de segurança – Controlar acessos de usuários – Auditoria – Prevenir, impedir e responder a ataques 39 39
  • 40. Profissional de segurança da informação Vários campos de atuação: – Pesquisa em segurança – Vulnerabilidades, ataques, criptografia, etc – Estratégia e Gestão de segurança – Ferramentas e tecnologias de segurança – Firewall, IDS, antivírus, etc – Desenvolvimento / Auditoria de código – Resposta a incidentes (ataques) – Investigação forense – Leis, Normas e ética – Auditoria 40 40
  • 41. Perfil Origem e formação de duas formas distintas: – Técnica – Profissionais de TI especializados em segurança – Suporte em TI (servidores, redes, etc) – Desenvolvimento – “ex-hackers” – Administrativa (Processual / Auditoria / Leis) – Gestão de TI, Elaboração de Processos – Auditoria, Análise de Riscos – Advogados especializados 41 41
  • 42. Ética Profissional Comportamento ético é muito importante na profissão – Cargos de confiança – Acesso a informações sigilosas – Participação de investigações e sindicâncias internas Cuidado com a imagem – Atuar eticamente – Postura ética: mensagens em listas de discussão, Orkut, etc 42 42
  • 43. Ética Profissional Pecados durante contratação: – mentiras sobre qualificações (31%) – baixo nível de comunicação (25%) – relações com comportamento criminoso (24%) – relatos ofendendo o emprego anterior ou revelando uso de drogas (19%) 43 43
  • 44. Atualização Profissional Necessidade de atualização contínua – Novas tecnologias – Novas vulnerabilidades e ameaças Como? – Listas de discussão – Cursos, treinamentos e certificações – Participar de associações profissionais – ISSA, ISACA, OWASP – Participação em eventos de qualidade 44 44
  • 46. Recomendações Finais Para a Empresa – A preocupação com segurança deve permear toda a organização – Segurança como diferencial competitivo – Análise de riscos – Segregação de ambientes (produção, desenvolvimento e testes) – Atualização dos sistemas – Processos, normas e procedimentos – Legislação – Normas internas Foto: arquivo pessoal – “Termo de responsabilidade” – Treinamento e Conscientização 46 46
  • 47. Recomendações finais Para nós (profissionais de TI) – Todos temos uma parcela de responsabilidade – Ética – Preocupação com segurança – Correta instalação e configuração de sistemas – Manter os sistemas atualizados – Qualidade no desenvolvimento de software – KISS (Keep it Simple, Stupid) Foto: arquivo pessoal – Processos, normas, procedimentos 47 47
  • 48. Recomendações finais (Futuros) Profissionais de TI – Desenvolvedores e arquitetos de software – Boas práticas Arquitetura de software Controle de versão Testes – Desenvolvimento de código seguro Foto: sxc.hu 48 48
  • 49. Recomendações finais (Futuros) Profissionais de TI – Administradores de sistemas, BDs e redes – Boas práticas de configuração dos equipamentos – Atualização constante – Monitoração e auditoria – Backup, redundância Foto: sxc.hu 49 49
  • 50. Recomendações finais Para nós (usuários finais) – Manter o micro atualizado (Windows update) – Antivírus Atualizado – Personal Firewall, antispyware, foto de santinho – Não acreditar em tudo o que vê – Nunca clicar em links nem abrir anexo de e-mails suspeitos (ou não explicitamente desejados) – Cuidado com suas senhas – Não conte para ninguém – Use senhas “fortes” – Cuidado com micros que você não conhece – Cuidado ao instalar softwares estranhos 50 50
  • 51. Recomendações finais Para nós (pais) – Computador não é “Tecnlogia acalma criança” – Manter diálogo aberto com os filhos sobre o uso e riscos da Internet – Cuidado com seu filho falando com estranhos – Cuidado com seu filho falando com mais velhos – Manter o computador na sala, onde pode ser monitorado – Impor limites – ex: não pode ver TV nem computador Foto: sxc.hu após as 22hs 51 51
  • 52. Recomendações finais Para nós (filhos) – Não confiar no que você recebe pela Internet – Não falar com estranhos – Não abrir e-mail de estranhos – Não clicar em links (de) estranhos – Não informar dados pessoais – Cuidado com páginas pessoais, scraps, blogs – Cuidado com sua privacidade e de seus amigos – Dados, fotos, mensagens Foto: sxc.hu 52 52
  • 53. Referências www.cert.br Blogs sobre Segurança www.modulo.com.br www.naopod.com.br www.navegueprotegido.org infosecfeeds.blogspot.com www.cert.org www.sans.org www.issa.org www.owasp.org www.microsoft.com/security www.microsoft.com/technet/security msdn.microsoft.com/security (Security Developer Center) msdn.microsoft.com/security/securecode (Writing Secure Code) www.microsoft.com/athome/security (Security at home) 53 53
  • 54. Obrigado :) Anchises M. G. de Paula Analista de Inteligência iDefense – VeriSign Anchisesbr at gmail.com http://anchisesbr.blogspot.com www.verisign.com 54 54