Where is the payoff

  • 1,905 views
Uploaded on

Apresentação realizada no evento Silver Bullet Conference em São Paulo, SP no dia 13/11/11

Apresentação realizada no evento Silver Bullet Conference em São Paulo, SP no dia 13/11/11

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,905
On Slideshare
0
From Embeds
0
Number of Embeds
8

Actions

Shares
Downloads
8
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Where is the Payoff?Métricas para Segurança de Aplicaçõesno Mundo RealEduardo V. C. Neves, CISSPeduardo@camargoneves.com
  • 2. 75% dos web sites contendo códigos maliciosos são legítimos e foram comprometidos State of Internet Security, Websense, 2008
  • 3. Oito em cada dez aplicações testadas falharam em atender as recomendações do OWASP Top 10 State of Software Security, Veracode, 2011
  • 4. Conhecemos osproblemas e as causas,por que ainda temossoftwares tãovulneráveis?
  • 5. As pessoas são o elomais fraco na correnteda Segurança daInformação
  • 6. Quais pessoas?
  • 7. Vulnerabilidades em SoftwarePesquisas realizadas por empresas do mercado dão uma ideiadas causas principais deste cenário• 66% do software comercial tem um nível inaceitável de segurança• 70% das empresas não investem o suficiente para proteger o software que utilizam• 34% das vulnerabilidades classificadas como de alto impacto não são corrigidas Fontes: Ponemon Institute e Veracode
  • 8. Como a sua Organização lida com isso?Historicamente as Organizações tratam a proteção do softwarecomo um ponto secundário em suas estratégias• 33% dos ataques ocorridos em 2010 exploraram ocorrências de Cross Site Scripting e SQL Injection• 50% dos responsáveis foram reprovados em provas de conhecimentos básicos sobre proteção em software• 66% dos softwares comerciais foram reprovados em testes de segurança primários Fonte: Veracode
  • 9. Pessoas ou posturas?
  • 10. Você reconhece alguma dessas características?As pesquisas publicadas confirmam o que vemos no dia-a-dia deboa parte das Organizações• Desconhecimento do problema• Falta de priorização nos pontos que importam• Investimentos com critérios inadequados• Busca de resultados imediatos
  • 11. Como as métricaspodem ajudar a mudareste cenário?
  • 12. O Papel de um Programa de MétricasDesenvolve, implementa e avalia indicadores que medem o desempenho eevolução de processos em direção a uma meta estabelecida• Estabelecem critérios para a avaliação de vulnerabilidades• Colocam o nível de risco em parâmetros comuns• Permitem entender onde e como os investimentos devem ser realizados
  • 13. CIS Security MetricsMantido pelo The Center for Internet Security (CIS), definemétricas que podem ser aplicadas em diversos pontos daestratégia de segurança• 28 métricas aplicadas a 7 diferentes funções de negócios• Alinha questões técnicas com as respostas esperadas pelas áreas de negócios• Permite combinar métricas em pontos específicos para gerar resultados em uma área de interesse
  • 14. CIS Security Metrics
  • 15. Proposta de AplicaçãoAs métricas propostas pelo CIS podem ser utilizadas para compor umprograma aplicável a Organizações de qualquer tamanho e mercado• Combinação de procedimentos específicos• Incremento da cobertura de acordo com o nível de maturidade• Participação das áreas de negócios em todo o processo
  • 16. Primeira Abordagem Segurança de Aplicações Financeiro Correção por Quantidade de Aplicações Vulnerabilidade Decisão de % de Aplicações Críticas Correção por Aplicação Investimento Cobertura dos Testes Custo por Teste Realizado Qtd de Vulnerabilidades Custo por Incidente
  • 17. Segunda AbordagemA evolução do Programa permite que novas métricas sejamutilizadas para compor um dashboard de análise• Gerenciamento de Incidentes• Gerenciamento de Vulnerabilidades• Administração de Patches• Gerenciamento de Configurações• Change Management
  • 18. Como errar menos
  • 19. Métricas podem ser facas de dois gumesUm programa de métricas pode ser o melhor amigo da Área deSegurança da Informação, porém:• Use valores precisos sem cair na subjetividade• Defina um plano de ação e atenha-se ao que foi planejado• Garanta o estabelecimento de um processo de incremento contínuo• K.I.S.S.
  • 20. Nunca se esqueça
  • 21. Love me for the money, come on, listento the money talk
  • 22. Permanecer no contexto do negócio, torna a segurança relevante
  • 23. ReferênciasTodos os documentos utilizados no estudo que gerou estaapresentação estão disponíveis para download na Internet• State of Software Security Report: The Intractable Problem of Insecure Software, Veracode• State of Internet Security, Websense Security Labs• A Metrics Framework to Drive Application Security Improvement, Elizabeth A. Nichols e Gunnar Peterson• Magic Numbers: An In-Depth Guide to the 5 Key Performance Indicators for Web Application Security, Rafal Los
  • 24. Uso de ImagensTodos os documentos utilizados no estudo que gerou estaapresentação estão disponíveis para download• Slide 1: http://www.flickr.com/photos/aztlek• Slide 4: http://www.flickr.com/photos/aztlek• Slide 6: http://www.flickr.com/photos/dplanet• Slide 11: http://www.flickr.com/photos/hyku• Slide 21: http://www.flickr.com/photos/jakecaptive
  • 25. Obrigado Eduardo V. C. Neveseduardo@camargoneves.com @evcneves