Where is the Payoff?Métricas para Segurança de Aplicaçõesno Mundo RealEduardo V. C. Neves, CISSPeduardo@camargoneves.com
75% dos web sites contendo códigos  maliciosos são legítimos e foram          comprometidos  State of Internet Security, W...
Oito em cada dez aplicações testadas      falharam em atender as recomendações do OWASP Top 10   State of Software Securit...
Conhecemos osproblemas e as causas,por que ainda temossoftwares tãovulneráveis?
As pessoas são o elomais fraco na correnteda Segurança daInformação
Quais pessoas?
Vulnerabilidades em SoftwarePesquisas realizadas por empresas do mercado dão uma ideiadas causas principais deste cenário•...
Como a sua Organização lida com isso?Historicamente as Organizações tratam a proteção do softwarecomo um ponto secundário ...
Pessoas ou posturas?
Você reconhece alguma dessas características?As pesquisas publicadas confirmam o que vemos no dia-a-dia deboa parte das Or...
Como as métricaspodem ajudar a mudareste cenário?
O Papel de um Programa de MétricasDesenvolve, implementa e avalia indicadores que medem o desempenho eevolução de processo...
CIS Security MetricsMantido pelo The Center for Internet Security (CIS), definemétricas que podem ser aplicadas em diverso...
CIS Security Metrics
Proposta de AplicaçãoAs métricas propostas pelo CIS podem ser utilizadas para compor umprograma aplicável a Organizações d...
Primeira Abordagem  Segurança de Aplicações                          Financeiro                                           ...
Segunda AbordagemA evolução do Programa permite que novas métricas sejamutilizadas para compor um dashboard de análise• Ge...
Como errar menos
Métricas podem ser facas de dois gumesUm programa de métricas pode ser o melhor amigo da Área deSegurança da Informação, p...
Nunca se esqueça
Love me for the money, come on, listento the money talk
Permanecer no contexto do negócio,    torna a segurança relevante
ReferênciasTodos os documentos utilizados no estudo que gerou estaapresentação estão disponíveis para download na Internet...
Uso de ImagensTodos os documentos utilizados no estudo que gerou estaapresentação estão disponíveis para download• Slide 1...
Obrigado    Eduardo V. C. Neveseduardo@camargoneves.com       @evcneves
Upcoming SlideShare
Loading in …5
×

Where is the payoff

2,701
-1

Published on

Apresentação realizada no evento Silver Bullet Conference em São Paulo, SP no dia 13/11/11

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,701
On Slideshare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
10
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Where is the payoff

  1. 1. Where is the Payoff?Métricas para Segurança de Aplicaçõesno Mundo RealEduardo V. C. Neves, CISSPeduardo@camargoneves.com
  2. 2. 75% dos web sites contendo códigos maliciosos são legítimos e foram comprometidos State of Internet Security, Websense, 2008
  3. 3. Oito em cada dez aplicações testadas falharam em atender as recomendações do OWASP Top 10 State of Software Security, Veracode, 2011
  4. 4. Conhecemos osproblemas e as causas,por que ainda temossoftwares tãovulneráveis?
  5. 5. As pessoas são o elomais fraco na correnteda Segurança daInformação
  6. 6. Quais pessoas?
  7. 7. Vulnerabilidades em SoftwarePesquisas realizadas por empresas do mercado dão uma ideiadas causas principais deste cenário• 66% do software comercial tem um nível inaceitável de segurança• 70% das empresas não investem o suficiente para proteger o software que utilizam• 34% das vulnerabilidades classificadas como de alto impacto não são corrigidas Fontes: Ponemon Institute e Veracode
  8. 8. Como a sua Organização lida com isso?Historicamente as Organizações tratam a proteção do softwarecomo um ponto secundário em suas estratégias• 33% dos ataques ocorridos em 2010 exploraram ocorrências de Cross Site Scripting e SQL Injection• 50% dos responsáveis foram reprovados em provas de conhecimentos básicos sobre proteção em software• 66% dos softwares comerciais foram reprovados em testes de segurança primários Fonte: Veracode
  9. 9. Pessoas ou posturas?
  10. 10. Você reconhece alguma dessas características?As pesquisas publicadas confirmam o que vemos no dia-a-dia deboa parte das Organizações• Desconhecimento do problema• Falta de priorização nos pontos que importam• Investimentos com critérios inadequados• Busca de resultados imediatos
  11. 11. Como as métricaspodem ajudar a mudareste cenário?
  12. 12. O Papel de um Programa de MétricasDesenvolve, implementa e avalia indicadores que medem o desempenho eevolução de processos em direção a uma meta estabelecida• Estabelecem critérios para a avaliação de vulnerabilidades• Colocam o nível de risco em parâmetros comuns• Permitem entender onde e como os investimentos devem ser realizados
  13. 13. CIS Security MetricsMantido pelo The Center for Internet Security (CIS), definemétricas que podem ser aplicadas em diversos pontos daestratégia de segurança• 28 métricas aplicadas a 7 diferentes funções de negócios• Alinha questões técnicas com as respostas esperadas pelas áreas de negócios• Permite combinar métricas em pontos específicos para gerar resultados em uma área de interesse
  14. 14. CIS Security Metrics
  15. 15. Proposta de AplicaçãoAs métricas propostas pelo CIS podem ser utilizadas para compor umprograma aplicável a Organizações de qualquer tamanho e mercado• Combinação de procedimentos específicos• Incremento da cobertura de acordo com o nível de maturidade• Participação das áreas de negócios em todo o processo
  16. 16. Primeira Abordagem Segurança de Aplicações Financeiro Correção por Quantidade de Aplicações Vulnerabilidade Decisão de % de Aplicações Críticas Correção por Aplicação Investimento Cobertura dos Testes Custo por Teste Realizado Qtd de Vulnerabilidades Custo por Incidente
  17. 17. Segunda AbordagemA evolução do Programa permite que novas métricas sejamutilizadas para compor um dashboard de análise• Gerenciamento de Incidentes• Gerenciamento de Vulnerabilidades• Administração de Patches• Gerenciamento de Configurações• Change Management
  18. 18. Como errar menos
  19. 19. Métricas podem ser facas de dois gumesUm programa de métricas pode ser o melhor amigo da Área deSegurança da Informação, porém:• Use valores precisos sem cair na subjetividade• Defina um plano de ação e atenha-se ao que foi planejado• Garanta o estabelecimento de um processo de incremento contínuo• K.I.S.S.
  20. 20. Nunca se esqueça
  21. 21. Love me for the money, come on, listento the money talk
  22. 22. Permanecer no contexto do negócio, torna a segurança relevante
  23. 23. ReferênciasTodos os documentos utilizados no estudo que gerou estaapresentação estão disponíveis para download na Internet• State of Software Security Report: The Intractable Problem of Insecure Software, Veracode• State of Internet Security, Websense Security Labs• A Metrics Framework to Drive Application Security Improvement, Elizabeth A. Nichols e Gunnar Peterson• Magic Numbers: An In-Depth Guide to the 5 Key Performance Indicators for Web Application Security, Rafal Los
  24. 24. Uso de ImagensTodos os documentos utilizados no estudo que gerou estaapresentação estão disponíveis para download• Slide 1: http://www.flickr.com/photos/aztlek• Slide 4: http://www.flickr.com/photos/aztlek• Slide 6: http://www.flickr.com/photos/dplanet• Slide 11: http://www.flickr.com/photos/hyku• Slide 21: http://www.flickr.com/photos/jakecaptive
  25. 25. Obrigado Eduardo V. C. Neveseduardo@camargoneves.com @evcneves
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×