Jordan M. Bonagura   jobona@terra.com.br     Twitter- jbonaguraSegInfo - 2011, Rio de Janeiro
Quem sou eu Pesquisador Independente em Segurança Fundador do Projeto Stay Safe Membro do Projeto GNSS – INPE Membro D...
Agenda    Valor da Informação;    Problemática;    Novo Modelo OSI;    Exemplos;    Impactos e    Necessidades
Valor da Informação Quanto vale as informações da sua empresa?
Valor da Informação E se você não mais tiver essas informações...
Valor da Informação Se estas informações estiverem nas mãos de seus concorrentes.                                         ...
Valor da Informação Então porque não cuidar?                            É a sua fatia do mercado...
“Mas, nós cuidamos...”    Mecanismos                     Mecanismos                        Serviços     Físicos           ...
“Temos até um CSO...”
Então, resolvido ? Infelizmente não....
ProblemáticaO Processo construtivo pelo qualas empresas passam no momento     de criar e estruturar suas               pol...
Problemática  Alguma semelhança entre as       imagens anteriores?
Processo Construtivo
Processo Construtivo Portanto, processo construtivo #FAIL
Vamos analisar...
Visão “inbox” X “outbox”                      NOVIDADE:Os terceiros (Crackers) / Concorrentes não fazem parte             ...
Pseudo Segurança            O nosso matador!!!
Problemática Processo Construtivo         Visão “Inbox”               Pseudo Segurança
Novo Modelo OSI ?             Falha Humana              Aplicação             Apresentação                Sessão          ...
Por razões óbvias as URL’s e nomes foram omitidos,  preservando assim a imagem das instituições.
Casos Práticos
Exemplos           Restaurantes Corporativos                                            Instituição Financeira            ...
Exemplos           Restaurantes Corporativos                                       Saúde
Exemplos           Saúde
Exemplos           Saúde
Exemplos           Restaurantes Corporativos                                       Instituição Financeira                 ...
Exemplos           Restaurantes Corporativos                                       Instituição Financeira
Exemplos           Restaurantes Corporativos                                             Restaurantes Empresariais        ...
Exemplos           Restaurantes Empresariais
Exemplos           Restaurantes Empresariais           Criptografia?           Não precisa....
Exemplos                         Editora           Construtora
Exemplos           Universidade
Exemplos           Jornalismo - Comunicação
Exemplos           Jornalismo - Comunicação                  W.A.F.
Exemplos           Agronegócio             Mais fácil...
Exemplos                  Agronegócio           Escolher SQL ou sh?
Exemplos           Agronegócio              Ok, sh
Exemplos           Franquias               Criptografia?
Exemplos           Franquias                   E se ...
Exemplos           Franquias                       ...
Exemplos           Franquias
Franquias
Exemplos
Exemplos
Exemplos
Exemplos
Exemplos
Exemplos           Open Proxy?              Só??
Exemplos               Norma da Empresa:           Proibido entrar com notebook           “Celular” pode normalmente.
Exemplos
Exemplos
Impactos Falhas acessíveis para qualquer usuário pois exige pequeno grau deconhecimento técnico; Escalação de Privilégio...
Calma! Nem tudo está perdido...
Pessoas que não vivenciem.É mais fácil encontrar vulnerabilidades quando não se está no dia a dia da empresa.
Necessidades Melhor integração Hackers com CSOs; Visão outbox no desenvolvimento de políticas de segurança; Canais de R...
E as SUAS informações? Estão Seguras?
Vale Security Conference      03 e 04 de Setembro   São José dos Campos - SP  www.valesecconf.com.br
Jordan M. Bonagura  jobona@terra.com.br  www.staysafe.com.br  Twitter - jbonagura
Jordan M. Bonagura  jobona@terra.com.br  www.staysafe.com.br  Twitter - jbonagura
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan Bonagura
Upcoming SlideShare
Loading in …5
×

A Miopia do CSO por Jordan Bonagura

1,171 views
1,093 views

Published on

A Miopia do CSO por Jordan Bonagura

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,171
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
55
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

A Miopia do CSO por Jordan Bonagura

  1. 1. Jordan M. Bonagura jobona@terra.com.br Twitter- jbonaguraSegInfo - 2011, Rio de Janeiro
  2. 2. Quem sou eu Pesquisador Independente em Segurança Fundador do Projeto Stay Safe Membro do Projeto GNSS – INPE Membro Diretor do Cloud Security Alliance – Brasil Membro da Comissão de Crimes de Alta Tecnologia da OAB Docente na área de Segurança da Informação Organizador da Vale Security Conference
  3. 3. Agenda  Valor da Informação;  Problemática;  Novo Modelo OSI;  Exemplos;  Impactos e  Necessidades
  4. 4. Valor da Informação Quanto vale as informações da sua empresa?
  5. 5. Valor da Informação E se você não mais tiver essas informações...
  6. 6. Valor da Informação Se estas informações estiverem nas mãos de seus concorrentes. Uma fatia do mercado?
  7. 7. Valor da Informação Então porque não cuidar? É a sua fatia do mercado...
  8. 8. “Mas, nós cuidamos...” Mecanismos Mecanismos Serviços Físicos Lógicos Fechaduras IDS / IPS Políticas - Normas Kits LockPick Hackers/Crackers Usuários* Os softwares e equipamentos aqui demonstrados são meramente ilustrativos... O MSN não está estava logando.... #novidade
  9. 9. “Temos até um CSO...”
  10. 10. Então, resolvido ? Infelizmente não....
  11. 11. ProblemáticaO Processo construtivo pelo qualas empresas passam no momento de criar e estruturar suas políticas.
  12. 12. Problemática Alguma semelhança entre as imagens anteriores?
  13. 13. Processo Construtivo
  14. 14. Processo Construtivo Portanto, processo construtivo #FAIL
  15. 15. Vamos analisar...
  16. 16. Visão “inbox” X “outbox” NOVIDADE:Os terceiros (Crackers) / Concorrentes não fazem parte do SEU plano!!!
  17. 17. Pseudo Segurança O nosso matador!!!
  18. 18. Problemática Processo Construtivo Visão “Inbox” Pseudo Segurança
  19. 19. Novo Modelo OSI ? Falha Humana Aplicação Apresentação Sessão Transporte Rede Enlace Física
  20. 20. Por razões óbvias as URL’s e nomes foram omitidos, preservando assim a imagem das instituições.
  21. 21. Casos Práticos
  22. 22. Exemplos Restaurantes Corporativos Instituição Financeira Nada como começar com um: “HELLO WORLD!”
  23. 23. Exemplos Restaurantes Corporativos Saúde
  24. 24. Exemplos Saúde
  25. 25. Exemplos Saúde
  26. 26. Exemplos Restaurantes Corporativos Instituição Financeira Google site:com.br filetype:txt banco
  27. 27. Exemplos Restaurantes Corporativos Instituição Financeira
  28. 28. Exemplos Restaurantes Corporativos Restaurantes Empresariais Diretamente na Internet... Vai dar Samba! #piada_nerd
  29. 29. Exemplos Restaurantes Empresariais
  30. 30. Exemplos Restaurantes Empresariais Criptografia? Não precisa....
  31. 31. Exemplos Editora Construtora
  32. 32. Exemplos Universidade
  33. 33. Exemplos Jornalismo - Comunicação
  34. 34. Exemplos Jornalismo - Comunicação W.A.F.
  35. 35. Exemplos Agronegócio Mais fácil...
  36. 36. Exemplos Agronegócio Escolher SQL ou sh?
  37. 37. Exemplos Agronegócio Ok, sh
  38. 38. Exemplos Franquias Criptografia?
  39. 39. Exemplos Franquias E se ...
  40. 40. Exemplos Franquias ...
  41. 41. Exemplos Franquias
  42. 42. Franquias
  43. 43. Exemplos
  44. 44. Exemplos
  45. 45. Exemplos
  46. 46. Exemplos
  47. 47. Exemplos
  48. 48. Exemplos Open Proxy? Só??
  49. 49. Exemplos Norma da Empresa: Proibido entrar com notebook “Celular” pode normalmente.
  50. 50. Exemplos
  51. 51. Exemplos
  52. 52. Impactos Falhas acessíveis para qualquer usuário pois exige pequeno grau deconhecimento técnico; Escalação de Privilégio; Possibilidades de alterações de conteúdo (denigrir imagem); Alterações de informações, podendo gerar prejuízos financeiros. Conhecimentos Riscos Técnicos Corporativos
  53. 53. Calma! Nem tudo está perdido...
  54. 54. Pessoas que não vivenciem.É mais fácil encontrar vulnerabilidades quando não se está no dia a dia da empresa.
  55. 55. Necessidades Melhor integração Hackers com CSOs; Visão outbox no desenvolvimento de políticas de segurança; Canais de Report mais específicos e claros. Pentest!!!
  56. 56. E as SUAS informações? Estão Seguras?
  57. 57. Vale Security Conference 03 e 04 de Setembro São José dos Campos - SP www.valesecconf.com.br
  58. 58. Jordan M. Bonagura jobona@terra.com.br www.staysafe.com.br Twitter - jbonagura
  59. 59. Jordan M. Bonagura jobona@terra.com.br www.staysafe.com.br Twitter - jbonagura

×