SlideShare ist ein Scribd-Unternehmen logo

App Sucesu 07out08

Conviso Application Security
Conviso Application Security

Apresentação feita para o Grupo de Interesse em Segurança da Informação da SUCESU-PR no dia 07/10/08

TechnologieBusiness
1 von 19
Downloaden Sie, um offline zu lesen
A Segurança Técnica como Base para os Processos de Gestão de Riscos Eduardo Vianna de Camargo Neves, CISSP Gerente de Operações
quebrando paradigmas
A maior causa das falhas de segurança é o usuário interno
75% dos vazamentos de dados foram executados por ameaças externas em múltiplas combinações de eventos 2008 Verizon Data Breach Investigations Report
Uma Política de Segurança é a chave para a gestão de riscos
Instituições financeiras que operam nos EUA estão aderentes ao SOX
Ocorrências derivadas da falta de controles técnicos de segurança Pontos de Auditoria Segurança de Bancos de Dados Desconheci Inseguros Maioria do 4% Controle de acesso adequada 15% 40% User Cleaning Logs Segregação de funções Poucos adequados 13% Excesso de privilégios Parte adequada 0% 10% 20% 30% 40% 50% 28% Fonte: DTT 2007 Global Security Survey Fonte: IOUG Enterprise Data Insecurity: Are Organizations Prepared for the Threat From Within?
Resultados derivados da falta de controles técnicos de segurança Perda de Receita por Fraude On Line Empresa Evento Impacto $4,000,000,000 40 milhões de contas Perda de 95% da $3,500,000,000 CardSystems acessadas por um receita cracker $3,000,000,000 Código de video game Atraso de 6 meses no $2,500,000,000 Valve furtado lançamento $2,000,000,000 Base de dados de Redução no preço de $1,500,000,000 DSW clientes acessada por venda durante IPO um cracker $1,000,000,000 Coleta de dados Pedido de falência após $500,000,000 Pharmatrak pessoais sem processos autorização $0 Sistema de booking Prejuízos diretos de US Comair falhou na véspera do $ 20 milhões Natal de 2004 Fonte: Cybersource 9th Annual Online Fraud Report
Estabelecimento do Modelo de Proteção
Estabelecimento do Modelo de Proteção
Estabelecimento do Modelo de Proteção
Estabelecimento do Modelo de Proteção
Estabelecimento do Modelo de Proteção
Algumas recomendações •  Administrar o escopo técnico do seu Ambiente Informatizado •  Capacitar a sua equipe de forma equilibrada •  Implementar a gestão de segurança por camadas •  Administrar os controles de forma integrada
Alguns recursos para capacitação e suporte à gestão •  Listas de Discussão •  Ferramentas Open Source •  OWASP (Open Web Application Security Project) •  NIST (National Institute of Standards and Technology) •  ISSA (International Systems Security Association)
Como se envolver? •  ISSA Brasil Sul •  regionalsul@issabrasil.org •  OWASP Brasil •  eduardo.neves@owasp.org OWASP The Open Web Application Security Project
Obrigado pela sua presença

Empfohlen

8ª CONSEGURO - JUAREZ ZORTEA
8ª CONSEGURO - JUAREZ ZORTEA8ª CONSEGURO - JUAREZ ZORTEA
8ª CONSEGURO - JUAREZ ZORTEACNseg
 
8ª CONSEGURO - MARCOS SPIGUEL
8ª CONSEGURO - MARCOS SPIGUEL8ª CONSEGURO - MARCOS SPIGUEL
8ª CONSEGURO - MARCOS SPIGUELCNseg
 
Modelo Tecnologia - Teste de Invasão
Modelo Tecnologia - Teste de InvasãoModelo Tecnologia - Teste de Invasão
Modelo Tecnologia - Teste de InvasãoEd Oliveira
 
Covering
CoveringCovering
CoveringRobson Silva Espig
 
8ª CONSEGURO - ISABEL FRANCO
8ª CONSEGURO - ISABEL FRANCO8ª CONSEGURO - ISABEL FRANCO
8ª CONSEGURO - ISABEL FRANCOCNseg
 
Modelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da InformaçãoModelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da InformaçãoEd Oliveira
 
Ol Day 2 10 20 08
Ol Day 2 10 20 08Ol Day 2 10 20 08
Ol Day 2 10 20 08mbamom
 
¿Qué consumimos los usuarios?
¿Qué consumimos los usuarios?¿Qué consumimos los usuarios?
¿Qué consumimos los usuarios?guest55e1d
 

Empfohlen

8ª CONSEGURO - JUAREZ ZORTEA
8ª CONSEGURO - JUAREZ ZORTEA8ª CONSEGURO - JUAREZ ZORTEA
8ª CONSEGURO - JUAREZ ZORTEACNseg
 
8ª CONSEGURO - MARCOS SPIGUEL
8ª CONSEGURO - MARCOS SPIGUEL8ª CONSEGURO - MARCOS SPIGUEL
8ª CONSEGURO - MARCOS SPIGUELCNseg
 
Modelo Tecnologia - Teste de Invasão
Modelo Tecnologia - Teste de InvasãoModelo Tecnologia - Teste de Invasão
Modelo Tecnologia - Teste de InvasãoEd Oliveira
 
Covering
CoveringCovering
CoveringRobson Silva Espig
 
8ª CONSEGURO - ISABEL FRANCO
8ª CONSEGURO - ISABEL FRANCO8ª CONSEGURO - ISABEL FRANCO
8ª CONSEGURO - ISABEL FRANCOCNseg
 
Modelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da InformaçãoModelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da InformaçãoEd Oliveira
 
Ol Day 2 10 20 08
Ol Day 2 10 20 08Ol Day 2 10 20 08
Ol Day 2 10 20 08mbamom
 
¿Qué consumimos los usuarios?
¿Qué consumimos los usuarios?¿Qué consumimos los usuarios?
¿Qué consumimos los usuarios?guest55e1d
 
YP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCHYP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCHmarco678
 
22 10
22 1022 10
22 10mauricio padilla
 
How To A Simple Wound
How To A Simple WoundHow To A Simple Wound
How To A Simple Woundmmathis1663
 
My Epicureal Evolution
My Epicureal EvolutionMy Epicureal Evolution
My Epicureal EvolutionNeo_platonist
 
YP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCHYP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCHmarco678
 
Procesadores Y Zocalos
Procesadores Y ZocalosProcesadores Y Zocalos
Procesadores Y Zocalosbri4n
 
Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...
Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...
Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...Yefersson Toledo
 
Pamplona 6 con foto apuntes
Pamplona 6 con foto apuntesPamplona 6 con foto apuntes
Pamplona 6 con foto apuntesPamplona Televisión
 
Salão do Livro em Foz do Iguaçu
Salão do Livro em Foz do IguaçuSalão do Livro em Foz do Iguaçu
Salão do Livro em Foz do IguaçuGiseli Paiva
 
Certificados ThinkQuest
Certificados ThinkQuestCertificados ThinkQuest
Certificados ThinkQuestEEM Dr. Romão Sampaio
 
Semiótica del internet
Semiótica del internetSemiótica del internet
Semiótica del internetjaimeesanchez
 
Actividade integradora
Actividade integradoraActividade integradora
Actividade integradorabecrecv
 
Clube
ClubeClube
ClubeBiblioteia
 
Case Study FullSIX - Eurostar New London (EN / FR)
Case Study FullSIX - Eurostar New London (EN / FR)Case Study FullSIX - Eurostar New London (EN / FR)
Case Study FullSIX - Eurostar New London (EN / FR)FullSIX Group
 
Auditoria Beca Centro Occidente C.A.
Auditoria Beca Centro Occidente C.A.Auditoria Beca Centro Occidente C.A.
Auditoria Beca Centro Occidente C.A.Luis Castro
 
Inovação e desenvolvimento
Inovação e desenvolvimento Inovação e desenvolvimento
Inovação e desenvolvimento Université Paris-Dauphine
 
Epoca precolombina
Epoca precolombinaEpoca precolombina
Epoca precolombina'Gomi Montoya
 
Jogos e Música
Jogos e MúsicaJogos e Música
Jogos e MúsicaAndré Pase
 
Fotos Històriques de Tarragona Segle XX
Fotos Històriques de Tarragona Segle XXFotos Històriques de Tarragona Segle XX
Fotos Històriques de Tarragona Segle XXVitalitat
 
Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSSConviso Application Security
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareConviso Application Security
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Conviso Application Security
 

Weitere ähnliche Inhalte

Andere mochten auch

YP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCHYP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCHmarco678
 
How To A Simple Wound
How To A Simple WoundHow To A Simple Wound
How To A Simple Woundmmathis1663
 
My Epicureal Evolution
My Epicureal EvolutionMy Epicureal Evolution
My Epicureal EvolutionNeo_platonist
 
YP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCHYP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCHmarco678
 
Procesadores Y Zocalos
Procesadores Y ZocalosProcesadores Y Zocalos
Procesadores Y Zocalosbri4n
 
Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...
Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...
Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...Yefersson Toledo
 
Salão do Livro em Foz do Iguaçu
Salão do Livro em Foz do IguaçuSalão do Livro em Foz do Iguaçu
Salão do Livro em Foz do IguaçuGiseli Paiva
 
Semiótica del internet
Semiótica del internetSemiótica del internet
Semiótica del internetjaimeesanchez
 
Actividade integradora
Actividade integradoraActividade integradora
Actividade integradorabecrecv
 
Case Study FullSIX - Eurostar New London (EN / FR)
Case Study FullSIX - Eurostar New London (EN / FR)Case Study FullSIX - Eurostar New London (EN / FR)
Case Study FullSIX - Eurostar New London (EN / FR)FullSIX Group
 
Auditoria Beca Centro Occidente C.A.
Auditoria Beca Centro Occidente C.A.Auditoria Beca Centro Occidente C.A.
Auditoria Beca Centro Occidente C.A.Luis Castro
 
Fotos Històriques de Tarragona Segle XX
Fotos Històriques de Tarragona Segle XXFotos Històriques de Tarragona Segle XX
Fotos Històriques de Tarragona Segle XXVitalitat
 

Andere mochten auch (19)

YP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCHYP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCH
 
22 10
22 1022 10
22 10
 
How To A Simple Wound
How To A Simple WoundHow To A Simple Wound
How To A Simple Wound
 
My Epicureal Evolution
My Epicureal EvolutionMy Epicureal Evolution
My Epicureal Evolution
 
YP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCHYP-T10 BENUTZERHANDBUCH
YP-T10 BENUTZERHANDBUCH
 
Procesadores Y Zocalos
Procesadores Y ZocalosProcesadores Y Zocalos
Procesadores Y Zocalos
 
Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...
Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...
Diversidad cultural en el callejón de huaylas. desde nuestros orígenes hasta ...
 
Pamplona 6 con foto apuntes
Pamplona 6 con foto apuntesPamplona 6 con foto apuntes
Pamplona 6 con foto apuntes
 
Salão do Livro em Foz do Iguaçu
Salão do Livro em Foz do IguaçuSalão do Livro em Foz do Iguaçu
Salão do Livro em Foz do Iguaçu
 
Certificados ThinkQuest
Certificados ThinkQuestCertificados ThinkQuest
Certificados ThinkQuest
 
Semiótica del internet
Semiótica del internetSemiótica del internet
Semiótica del internet
 
Actividade integradora
Actividade integradoraActividade integradora
Actividade integradora
 
Clube
ClubeClube
Clube
 
Case Study FullSIX - Eurostar New London (EN / FR)
Case Study FullSIX - Eurostar New London (EN / FR)Case Study FullSIX - Eurostar New London (EN / FR)
Case Study FullSIX - Eurostar New London (EN / FR)
 
Auditoria Beca Centro Occidente C.A.
Auditoria Beca Centro Occidente C.A.Auditoria Beca Centro Occidente C.A.
Auditoria Beca Centro Occidente C.A.
 
Inovação e desenvolvimento
Inovação e desenvolvimento Inovação e desenvolvimento
Inovação e desenvolvimento
 
Epoca precolombina
Epoca precolombinaEpoca precolombina
Epoca precolombina
 
Jogos e Música
Jogos e MúsicaJogos e Música
Jogos e Música
 
Fotos Històriques de Tarragona Segle XX
Fotos Històriques de Tarragona Segle XXFotos Històriques de Tarragona Segle XX
Fotos Històriques de Tarragona Segle XX
 

Mehr von Conviso Application Security

Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareConviso Application Security
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Conviso Application Security
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web HackingConviso Application Security
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebConviso Application Security
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...Conviso Application Security
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashConviso Application Security
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Conviso Application Security
 

Mehr von Conviso Application Security (20)

Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de software
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking
 
Building Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesBuilding Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 Features
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações Web
 
Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?
 
Pentest em Aplicações Móveis
Pentest em Aplicações MóveisPentest em Aplicações Móveis
Pentest em Aplicações Móveis
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
 
HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?
 
Threats from economical improvement rss 2010
Threats from economical improvement rss 2010Threats from economical improvement rss 2010
Threats from economical improvement rss 2010
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flash
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
 
Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
 
Abotoaduras & Bonés
Abotoaduras & BonésAbotoaduras & Bonés
Abotoaduras & Bonés
 

App Sucesu 07out08

  • 1. A Segurança Técnica como Base para os Processos de Gestão de Riscos Eduardo Vianna de Camargo Neves, CISSP Gerente de Operações
  • 3. A maior causa das falhas de segurança é o usuário interno
  • 4. 75% dos vazamentos de dados foram executados por ameaças externas em múltiplas combinações de eventos 2008 Verizon Data Breach Investigations Report
  • 5. Uma Política de Segurança é a chave para a gestão de riscos
  • 6. Instituições financeiras que operam nos EUA estão aderentes ao SOX
  • 7. Ocorrências derivadas da falta de controles técnicos de segurança Pontos de Auditoria Segurança de Bancos de Dados Desconheci Inseguros Maioria do 4% Controle de acesso adequada 15% 40% User Cleaning Logs Segregação de funções Poucos adequados 13% Excesso de privilégios Parte adequada 0% 10% 20% 30% 40% 50% 28% Fonte: DTT 2007 Global Security Survey Fonte: IOUG Enterprise Data Insecurity: Are Organizations Prepared for the Threat From Within?
  • 8. Resultados derivados da falta de controles técnicos de segurança Perda de Receita por Fraude On Line Empresa Evento Impacto $4,000,000,000 40 milhões de contas Perda de 95% da $3,500,000,000 CardSystems acessadas por um receita cracker $3,000,000,000 Código de video game Atraso de 6 meses no $2,500,000,000 Valve furtado lançamento $2,000,000,000 Base de dados de Redução no preço de $1,500,000,000 DSW clientes acessada por venda durante IPO um cracker $1,000,000,000 Coleta de dados Pedido de falência após $500,000,000 Pharmatrak pessoais sem processos autorização $0 Sistema de booking Prejuízos diretos de US Comair falhou na véspera do $ 20 milhões Natal de 2004 Fonte: Cybersource 9th Annual Online Fraud Report
  • 9.
  • 10. Estabelecimento do Modelo de Proteção
  • 11. Estabelecimento do Modelo de Proteção
  • 12. Estabelecimento do Modelo de Proteção
  • 13. Estabelecimento do Modelo de Proteção
  • 14. Estabelecimento do Modelo de Proteção
  • 15. Algumas recomendações •  Administrar o escopo técnico do seu Ambiente Informatizado •  Capacitar a sua equipe de forma equilibrada •  Implementar a gestão de segurança por camadas •  Administrar os controles de forma integrada
  • 16.
  • 17. Alguns recursos para capacitação e suporte à gestão •  Listas de Discussão •  Ferramentas Open Source •  OWASP (Open Web Application Security Project) •  NIST (National Institute of Standards and Technology) •  ISSA (International Systems Security Association)
  • 18. Como se envolver? •  ISSA Brasil Sul •  regionalsul@issabrasil.org •  OWASP Brasil •  eduardo.neves@owasp.org OWASP The Open Web Application Security Project
  • 19. Obrigado pela sua presença