Your SlideShare is downloading. ×
0
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Where is the payoff
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Where is the payoff

2,250

Published on

Apresentação realizada no evento Silver Bullet Conference em São Paulo, SP no dia 13/11/11

Apresentação realizada no evento Silver Bullet Conference em São Paulo, SP no dia 13/11/11

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,250
On Slideshare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
9
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Where is the Payoff?Métricas para Segurança de Aplicaçõesno Mundo RealEduardo V. C. Neves, CISSPeduardo@camargoneves.com
  • 2. 75% dos web sites contendo códigos maliciosos são legítimos e foram comprometidos State of Internet Security, Websense, 2008
  • 3. Oito em cada dez aplicações testadas falharam em atender as recomendações do OWASP Top 10 State of Software Security, Veracode, 2011
  • 4. Conhecemos osproblemas e as causas,por que ainda temossoftwares tãovulneráveis?
  • 5. As pessoas são o elomais fraco na correnteda Segurança daInformação
  • 6. Quais pessoas?
  • 7. Vulnerabilidades em SoftwarePesquisas realizadas por empresas do mercado dão uma ideiadas causas principais deste cenário• 66% do software comercial tem um nível inaceitável de segurança• 70% das empresas não investem o suficiente para proteger o software que utilizam• 34% das vulnerabilidades classificadas como de alto impacto não são corrigidas Fontes: Ponemon Institute e Veracode
  • 8. Como a sua Organização lida com isso?Historicamente as Organizações tratam a proteção do softwarecomo um ponto secundário em suas estratégias• 33% dos ataques ocorridos em 2010 exploraram ocorrências de Cross Site Scripting e SQL Injection• 50% dos responsáveis foram reprovados em provas de conhecimentos básicos sobre proteção em software• 66% dos softwares comerciais foram reprovados em testes de segurança primários Fonte: Veracode
  • 9. Pessoas ou posturas?
  • 10. Você reconhece alguma dessas características?As pesquisas publicadas confirmam o que vemos no dia-a-dia deboa parte das Organizações• Desconhecimento do problema• Falta de priorização nos pontos que importam• Investimentos com critérios inadequados• Busca de resultados imediatos
  • 11. Como as métricaspodem ajudar a mudareste cenário?
  • 12. O Papel de um Programa de MétricasDesenvolve, implementa e avalia indicadores que medem o desempenho eevolução de processos em direção a uma meta estabelecida• Estabelecem critérios para a avaliação de vulnerabilidades• Colocam o nível de risco em parâmetros comuns• Permitem entender onde e como os investimentos devem ser realizados
  • 13. CIS Security MetricsMantido pelo The Center for Internet Security (CIS), definemétricas que podem ser aplicadas em diversos pontos daestratégia de segurança• 28 métricas aplicadas a 7 diferentes funções de negócios• Alinha questões técnicas com as respostas esperadas pelas áreas de negócios• Permite combinar métricas em pontos específicos para gerar resultados em uma área de interesse
  • 14. CIS Security Metrics
  • 15. Proposta de AplicaçãoAs métricas propostas pelo CIS podem ser utilizadas para compor umprograma aplicável a Organizações de qualquer tamanho e mercado• Combinação de procedimentos específicos• Incremento da cobertura de acordo com o nível de maturidade• Participação das áreas de negócios em todo o processo
  • 16. Primeira Abordagem Segurança de Aplicações Financeiro Correção por Quantidade de Aplicações Vulnerabilidade Decisão de % de Aplicações Críticas Correção por Aplicação Investimento Cobertura dos Testes Custo por Teste Realizado Qtd de Vulnerabilidades Custo por Incidente
  • 17. Segunda AbordagemA evolução do Programa permite que novas métricas sejamutilizadas para compor um dashboard de análise• Gerenciamento de Incidentes• Gerenciamento de Vulnerabilidades• Administração de Patches• Gerenciamento de Configurações• Change Management
  • 18. Como errar menos
  • 19. Métricas podem ser facas de dois gumesUm programa de métricas pode ser o melhor amigo da Área deSegurança da Informação, porém:• Use valores precisos sem cair na subjetividade• Defina um plano de ação e atenha-se ao que foi planejado• Garanta o estabelecimento de um processo de incremento contínuo• K.I.S.S.
  • 20. Nunca se esqueça
  • 21. Love me for the money, come on, listento the money talk
  • 22. Permanecer no contexto do negócio, torna a segurança relevante
  • 23. ReferênciasTodos os documentos utilizados no estudo que gerou estaapresentação estão disponíveis para download na Internet• State of Software Security Report: The Intractable Problem of Insecure Software, Veracode• State of Internet Security, Websense Security Labs• A Metrics Framework to Drive Application Security Improvement, Elizabeth A. Nichols e Gunnar Peterson• Magic Numbers: An In-Depth Guide to the 5 Key Performance Indicators for Web Application Security, Rafal Los
  • 24. Uso de ImagensTodos os documentos utilizados no estudo que gerou estaapresentação estão disponíveis para download• Slide 1: http://www.flickr.com/photos/aztlek• Slide 4: http://www.flickr.com/photos/aztlek• Slide 6: http://www.flickr.com/photos/dplanet• Slide 11: http://www.flickr.com/photos/hyku• Slide 21: http://www.flickr.com/photos/jakecaptive
  • 25. Obrigado Eduardo V. C. Neveseduardo@camargoneves.com @evcneves

×