A Segurança Técnica como Base para os
Processos de Gestão de Riscos
Eduardo Vianna de Camargo Neves, CISSP
Gerente de Operações

quebrando paradigmas

A maior causa das falhas de
segurança é o usuário interno

75% dos vazamentos de dados foram
executados por ameaças externas
em múltiplas combinações de eventos
2008 Verizon Data Breach Investigations Report

Uma Política de Segurança é a
chave para a gestão de riscos

Instituições financeiras que
operam nos EUA estão aderentes
ao SOX

Ocorrências derivadas da falta de
controles técnicos de segurança
Pontos de Auditoria Segurança de Bancos de Dados
Desconheci Inseguros
Maioria
do 4%
Controle de acesso adequada
15%
40%
User Cleaning
Logs
Segregação de funções Poucos
adequados
13%
Excesso de privilégios
Parte
adequada
0% 10% 20% 30% 40% 50% 28%
Fonte: DTT 2007 Global Security Survey Fonte: IOUG Enterprise Data Insecurity: Are Organizations Prepared for the
Threat From Within?

Resultados derivados da falta de
controles técnicos de segurança
Perda de Receita por Fraude On Line Empresa Evento Impacto
$4,000,000,000
40 milhões de contas
Perda de 95% da
$3,500,000,000 CardSystems acessadas por um
receita
cracker
$3,000,000,000
Código de video game Atraso de 6 meses no
$2,500,000,000 Valve
furtado lançamento
$2,000,000,000
Base de dados de
Redução no preço de
$1,500,000,000 DSW clientes acessada por
venda durante IPO
um cracker
$1,000,000,000
Coleta de dados
Pedido de falência após
$500,000,000 Pharmatrak pessoais sem
processos
autorização
$0
Sistema de booking
Prejuízos diretos de US
Comair falhou na véspera do
$ 20 milhões
Natal de 2004
Fonte: Cybersource 9th Annual Online Fraud Report

Estabelecimento do Modelo de
Proteção

Estabelecimento do Modelo de
Proteção

Estabelecimento do Modelo de
Proteção

Estabelecimento do Modelo de
Proteção

Estabelecimento do Modelo de
Proteção

Algumas recomendações
• Administrar o escopo técnico do seu Ambiente Informatizado
• Capacitar a sua equipe de forma equilibrada
• Implementar a gestão de segurança por camadas
• Administrar os controles de forma integrada

Alguns recursos para capacitação e
suporte à gestão
• Listas de Discussão
• Ferramentas Open Source
• OWASP (Open Web Application Security Project)
• NIST (National Institute of Standards and Technology)
• ISSA (International Systems Security Association)

Como se envolver?
• ISSA Brasil Sul
• regionalsul@issabrasil.org
• OWASP Brasil
• eduardo.neves@owasp.org
OWASP
The Open Web Application Security Project

Obrigado pela sua presença