Successfully reported this slideshow.

Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?

319 views

Published on

Uma discussão a responsabilidade de manter a segurança de aplicações nas organizações.

Published in: Software
  • Be the first to comment

  • Be the first to like this

Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?

  1. 1. Uma verdade inconveniente Quem é responsável pela INsegurança das aplicações? SegInfo 2014 - Rio de Janeiro - Wagner Elias Thursday, May 8, 2014
  2. 2. Alguns Números Thursday, May 8, 2014
  3. 3. Apenas identificar falhas não é suficiente O número de vulnerabilidades em aplicações é alto Estatísticas Política de Segurança 70% das aplicações testadas possuem uma ou mais falhas de segurança consideradas sérias de acordo com políticas de segurança das empresas OWASP Top 10 87% das aplicações testadas possuem uma ou mais falhas classificadas entre as 10 principais falhas de segurança em aplicações web SANS Top 25 69% das aplicações testadas possuem uma ou mais classificadas entre as 25 principais falhas de software Fonte: State of Software Security Report - The Intractable Problem of Insecure Software - APRIL 2013 Thursday, May 8, 2014
  4. 4. Apenas identificar falhas não é suficiente Gestão de vulnerabilidade é fundamental Práticas isoladas não resolvem Indústria Vulnerabilidades Sérias Reportadas Vulnerabilidades Corrigidas Dias Expostos Overall 230 53% 233 Banking 30 71% 74 Education 80 40% 164 Financial Services 266 41% 184 Healthcare 33 48% 133 Insurance 80 46% 236 IT 111 50% 221 Manufactoring 35 47% 123 Retail 404 66% 328 Social Networking 71 47% 159 Telecomunications 215 63% 260 Fonte: WhiteHat Website Security Statistics Report - 2011 Thursday, May 8, 2014
  5. 5. Um pouco sobre desenvolvimento Thursday, May 8, 2014
  6. 6. Apenas identificar falhas não é suficiente O maior problema é a desinformação Mitos Contratei uma boa empresa Empresas de desenvolvimento de software geralmente não dominam práticas de segurança em desenvolvimento de software Segurança aumenta o custo Segurança não é opcional. O desenvolvimento deve compreender as práticas de desenvolvimento seguro e entregar software com qualidade Tenho bons programadores Bons programadores sem a devida capacitação desconhecem práticas de segurança de software Thursday, May 8, 2014
  7. 7. Quem é o culpado? Thursday, May 8, 2014
  8. 8. Apenas identificar falhas não é suficiente VOCÊ! Thursday, May 8, 2014
  9. 9. Apenas identificar falhas não é suficiente Continuamos comprando errado Nós não estamos preparados Requisitos fracos Segurança ainda não é claramente definido como requisito fundamental em projetos de desenvolvimento de software Baixo investimento As organizações ainda não acreditam nos benefícios trazidos por boas práticas de segurança em desenvolvimento de software Não existe proatividade A maioria das organização ainda acredita que apenas testar é suficiente, negligenciando as práticas de segurança em desenvolvimento de software Thursday, May 8, 2014
  10. 10. O que eu ganho com isso? Thursday, May 8, 2014
  11. 11. Apenas identificar falhas não é suficiente Análises internacionais mostram um aumento exponencial no custo para o tratamento de falhas ao longo do tempo Investimento Certo $0 $3,750 $7,500 $11,250 $15,000 Requisitos Design Código Teste Operação $139 $455 $977 $7,136 $14,102 $ 14.102 Consequências: Fraudes; Danos a Imagem; Vazamento de Informações Custo Tempo Thursday, May 8, 2014
  12. 12. Atuação em todo Brasil e exterior Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095-3986 Wagner Elias welias@conviso.com.br Obrigado Siga no Twitter https://twitter.com/conviso Curta a Fanpage no Facebook https://facebook.com/convisoappsec Conheça o nosso blog http://blog.conviso.com.br Thursday, May 8, 2014

×