Soluções de Segurança da Informação
      para o mundo corporativo

(para cada problema, algumas soluções!)


Rafael Soare...
Conceitos

>> Segurança da Informação

 Disponibilidade

 Confidencialidade

 Integridade



                             ...
Conceitos


>> Vulnerabilidades

●Falhas de projeto, implementação ou
configuração de redes, sistemas ou aplicações
●   Re...
Conceitos


    >> Vulnerabilidades

    Onde encontrá-las?
●   Listas de discussão
●   Site do Fabricante
               ...
Conceitos

>> Incidentes de Segurança


 ●   Comprometimento dos pilares da SI
 ●   Violação da política de segurança




...
Principais Ameaças


 ●   Vírus, Worms, Cavalos de Tróia ...
 ●   Acesso não Autorizado (Interno/Externo)
 ●   Fraudes / E...
Principais Ameaças


 ●   Pichação de Sites (Defacement)
 ●   Injeção de Códigos
 ●   Senhas Padrão / Força Bruta
 ●   Cap...
Principais Ameaças




Fonte: Cert.br

                                                                                   ...
Principais Ameaças




Fonte: Cert.br

                                                                                   ...
Principais Ameaças




Fonte: Cert.br

                                                                                   ...
Principais Ameaças




Fonte: Cert.br

                                                                                   ...
Política de Segurança


 ●   Normas, Processos e Diretrizes
 ●   Continuidade do Negócio
 ●   Conscientização e Orientação...
Cultura e Capacitação


 ●   Divulgação dos conceitos de segurança
 ●   Melhor aceitação de controles de segurança
 ●   Co...
Medidas de Apoio à SI




                                           ●       Política de Segurança ou
                    ...
Proteção Corporativa

●   Controles de Acesso
●   Sistemas de Detecção/Prevenção de Intrusão
●   Sistemas de Monitoramento...
Tecnologias Adotadas




  Fonte: Cetic.br
                                                                               ...
Tecnologias Adotadas




 Fonte: Cetic.br
                                                                                ...
Análise Executiva de SI



  ●   Mapeamento de processos
  ●   Análise de vulnerabilidades
  ●   Avaliação do grau de expo...
Administração Segura



 ●   Análise de desempenho e vulnerabilidades
 ●   Constante fortalecimento dos servidores
 ●   Co...
Teste de Invasão (PenTest)


 ●   Simulação de ataques reais
 ●   Teste dos controles de segurança existentes
 ●   Homolog...
Teste de Invasão (PenTest)


      >> OSSTMM
      Open Source Security Testing Methodology Manual

      >> NIST 800.42
 ...
Segurança Redes sem Fio



  ●   Projeto e Implementação segura
  ●   Cobertura e Exposição
  ●   Controles de Acesso ao m...
Resposta a Incidentes


  ●   Encaminhamento de incidentes
  ●   Recomendações de correção
  ●   Isolamento e Contensão
  ...
Análise Forense


 ●   Coleta de dados
 ●   Preservação das Evidências
 ●   Correlação das Evidências
 ●   Elaboração da l...
Fim...

     Muito Obrigado!

 Rafael Soares Ferreira
 rafael@clavis.com.br




                                          ...
Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) - Rafael Soares Ferre...
Upcoming SlideShare
Loading in …5
×

Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) - Rafael Soares Ferreira - Workshop Corporativo sobre Ameaças Digitais e Segurança da Informação

3,992 views

Published on

Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!)
Rafael Soares Ferreira
Diretor de Resposta a Incidentes e Auditorias
rafael@clavis.com.br

Workshop Corporativo sobre Ameaças Digitais e Segurança da Informação
Organização: Clavis e RioSoft

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,992
On SlideShare
0
From Embeds
0
Number of Embeds
59
Actions
Shares
0
Downloads
191
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) - Rafael Soares Ferreira - Workshop Corporativo sobre Ameaças Digitais e Segurança da Informação

  1. 1. Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias rafael@clavis.com.br Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  2. 2. Conceitos >> Segurança da Informação Disponibilidade Confidencialidade Integridade 3 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  3. 3. Conceitos >> Vulnerabilidades ●Falhas de projeto, implementação ou configuração de redes, sistemas ou aplicações ● Resultam em violação da segurança ● Algumas vezes são descobertas pelo próprio fabricante, outras não... 4 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  4. 4. Conceitos >> Vulnerabilidades Onde encontrá-las? ● Listas de discussão ● Site do Fabricante www.seginfo.com.br ● Sites especializados ● Todas as anteriores... 5 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  5. 5. Conceitos >> Incidentes de Segurança ● Comprometimento dos pilares da SI ● Violação da política de segurança 6 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  6. 6. Principais Ameaças ● Vírus, Worms, Cavalos de Tróia ... ● Acesso não Autorizado (Interno/Externo) ● Fraudes / Engenharia Social ● Furto de Equipamentos ● Negação de Serviço 7 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  7. 7. Principais Ameaças ● Pichação de Sites (Defacement) ● Injeção de Códigos ● Senhas Padrão / Força Bruta ● Captura de Tráfego ● Vulnerabilidades 8 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  8. 8. Principais Ameaças Fonte: Cert.br 9 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  9. 9. Principais Ameaças Fonte: Cert.br 10 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  10. 10. Principais Ameaças Fonte: Cert.br 11 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  11. 11. Principais Ameaças Fonte: Cert.br 12 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  12. 12. Política de Segurança ● Normas, Processos e Diretrizes ● Continuidade do Negócio ● Conscientização e Orientação ● Padronização nos processos organizacionais ● Definição de responsabilidades ● Conformidade 13 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  13. 13. Cultura e Capacitação ● Divulgação dos conceitos de segurança ● Melhor aceitação de controles de segurança ● Conscientização sobre os riscos ● Capacitação Técnica ● Prevenção contra ataques de Engenharia Social 14 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  14. 14. Medidas de Apoio à SI ● Política de Segurança ou de uso aceitável ● Programa de Treinamento em SI para funcionários Fonte: Cetic.br 15 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  15. 15. Proteção Corporativa ● Controles de Acesso ● Sistemas de Detecção/Prevenção de Intrusão ● Sistemas de Monitoramento ● Sistemas Anti­vírus e Anti­Spam ● Filtro de Conteúdo Web ● Soluções de Backup e Redundância ● Gerenciamento de Registros (Logs) 16 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  16. 16. Tecnologias Adotadas Fonte: Cetic.br 17 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  17. 17. Tecnologias Adotadas Fonte: Cetic.br 18 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  18. 18. Análise Executiva de SI ● Mapeamento de processos ● Análise de vulnerabilidades ● Avaliação do grau de exposição ● Conformidade com boas práticas 19 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  19. 19. Administração Segura ● Análise de desempenho e vulnerabilidades ● Constante fortalecimento dos servidores ● Controles de segurança ● Alta Disponibilidade 20 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  20. 20. Teste de Invasão (PenTest) ● Simulação de ataques reais ● Teste dos controles de segurança existentes ● Homologação e Conformidade ● Testa sistemas, equipes e processos ● OSSTMM, ISSAF, NIST800-42, OWASP 21 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  21. 21. Teste de Invasão (PenTest) >> OSSTMM Open Source Security Testing Methodology Manual >> NIST 800.42 Guideline on Network Security Testing >> OWASP Open Web Application Security Project >> ISSAF Information Systems Security Assessment Framework 22 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  22. 22. Segurança Redes sem Fio ● Projeto e Implementação segura ● Cobertura e Exposição ● Controles de Acesso ao meio ● Políticas de Uso 23 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  23. 23. Resposta a Incidentes ● Encaminhamento de incidentes ● Recomendações de correção ● Isolamento e Contensão ● Recuperação ● Investigação das causas principais ● Implementação de Correções 24 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  24. 24. Análise Forense ● Coleta de dados ● Preservação das Evidências ● Correlação das Evidências ● Elaboração da linha do tempo ● Respaldo jurídico ● Laudo pericial 25 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  25. 25. Fim... Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br 26 Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.

×