As lendas em segurança da informação

4,427 views

Published on

Apresentação que foi preparada para um evento em São Paulo no final de 2011. Acabei não tendo a oportunidade de participar, mas o material fica disponível para uso público. Eu acho os conceitos especialmente interessantes para conscientização das próprias equipes de IT Security e no relacionamento com auditorias.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,427
On SlideShare
0
From Embeds
0
Number of Embeds
2,764
Actions
Shares
0
Downloads
38
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

As lendas em segurança da informação

  1. 1. AS LENDAS EM SEGURANÇA DAINFORMAÇÃOPorque algumas verdades podem nãoser exatamente o que você esperaEduardo V. C. Neves, CISSPeduardo@camargoneves.com@evcneves
  2. 2. “Lenda é uma narrativa fantasiosatransmitida pela tradição oral atravésdos tempos.De caráter fantástico e/ou fictício, aslendas combinam fatos reais ehistóricos com fatos irreais que sãomeramente produto da imaginaçãoaventuresca humana.” Fonte: Wikipedia14/2/2012 As Lendas em Segurança da Informação 2
  3. 3. As Lendas na Segurança da InformaçãoExistem narrativas fantasiosas em Segurança da Informação quedevem ser questionadas e entendidas para garantir o uso destesrecursos de forma adequada• Alguns tipos de negócio nunca serão um alvo• O firewall oferece proteção contra ameaças externas• Um penetration test identifica todas as falhas no perímetro• Segurança em software pode ser adiada para o próximo release• As pessoas são o elo mais fraco14/2/2012 As Lendas em Segurança da Informação 3
  4. 4. Alguns tipos de negócionunca serão um alvo14/2/2012 As Lendas em Segurança da Informação 4
  5. 5. 14/2/2012 As Lendas em Segurança da Informação 5
  6. 6. Qualquer negócio pode ser um alvoO crime virtual funciona como qualquer tipo de delito, a relação entre orisco envolvido e a recompensa esperada determina como um alvoserá definido• O aumento da proteção em negócios tradicionalmente atacados mudou a estratégia dos criminosos• 61% das fraudes no Brasil são realizadas por funcionários• As fraudes pela Internet somaram R$ 1,34 bilhões em 18 meses14/2/2012 As Lendas em Segurança da Informação 6
  7. 7. O firewall ofereceproteção contraameaças externas14/2/2012 As Lendas em Segurança da Informação 7
  8. 8. O firewall cumpre um papel específicoApesar de ter agregado diversas funcionalidades ao longo dos anos, ofirewall ainda é uma das muitas ferramentas de proteção necessáriasem uma empresa• Um firewall permite o trafego web por ele ser menos perigoso que as demais conexões• 75% das vulnerabilidades na Internet estão na camada de aplicação• 84% dos vetores em ataques são remotos14/2/2012 As Lendas em Segurança da Informação 8
  9. 9. 14/2/2012 As Lendas em Segurança da Informação 9
  10. 10. Um penetration test identificatodas as falhas no perímetro14/2/2012 As Lendas em Segurança da Informação 10
  11. 11. O penetration test é somente um dentre vários tipos de testes de segurançaUtilizado como teste máximo de eficiência das defesas do perímetro, openetration test tem uma função que muitas vezes não é entendida emsua plenitude• O resultado depende do cenário e escopo.• O objetivo pode ser estabelecido de forma inadequada.• As necessidades de correção propostas muitas vezes não são priorizadas. Ou mesmo realizadas.• Um penetration test mostra falhas no perímetro em um momento temporal específico.14/2/2012 As Lendas em Segurança da Informação 11
  12. 12. Segurança em software pode ser adiada para o próximo release14/2/2012 As Lendas em Segurança da Informação 12
  13. 13. Falhas em software são fáceis de serem exploradasA enorme quantidade de vulnerabilidades em software criou umcenário onde a exploração pode ser automatizada, aumentandoexponencialmente a superfície de ataque• 66% do software comercial tem um nível inaceitável de segurança• 70% das empresas não investem o suficiente para proteger o software que utilizam• 34% das vulnerabilidades classificadas como de alto impacto não são corrigidas• Adiar a segurança em software pode custar muito mais do que o investimento inicial14/2/2012 As Lendas em Segurança da Informação 13
  14. 14. 14/2/2012 As Lendas em Segurança da Informação 14
  15. 15. As pessoas são o elo mais fraco14/2/2012 As Lendas em Segurança da Informação 15
  16. 16. Os processos são o elo mais fracoAs empresas ainda tratam a Segurança da Informação como um pontosecundário em suas estratégias• 33% dos ataques ocorridos em 2010 exploraram ocorrências de Cross Site Scripting e SQL Injection• 75% das empresas acreditam que serão vitimadas por vazamentos de dados nos próximos 12 meses• 92% dos ataques ocorridos exploram vulnerabilidades simples14/2/2012 As Lendas em Segurança da Informação 16
  17. 17. Avalie o cenário de forma holística e pense um pouco14/2/2012 As Lendas em Segurança da Informação 17
  18. 18. O comportamento corporativo em relação a segurança ainda é inadequado14/2/2012 As Lendas em Segurança da Informação 18
  19. 19. Como não ser vítima das crendices em Segurança da Informação?14/2/2012 As Lendas em Segurança da Informação 19
  20. 20. Tudo é um questão de gerenciamento dos riscosA Segurança da Informação deve ser entendida como uma dasferramentas que as empresas tem para manter os riscos aos negóciosem níveis aceitáveis• Entender os problemas antes de buscar soluções• Aceitar que o ótimo pode ser inimigo do bom, mas nem sempre• Abordar a proteção de forma ampla, observando vulnerabilidades que vão muito além da tecnologia14/2/2012 As Lendas em Segurança da Informação 20
  21. 21. 14/2/2012 As Lendas em Segurança da Informação 21
  22. 22. ReferênciasAs referências apresentadas foram acessadas pela nos EUA: http://blogs.estadao.com.br/radar-Internet entre os dias 15 e 19 de novembro de 2011 economico/2011/07/21/pequena-empresa-vira-• Ambulance service disrupted by computer virus alvo-preferido-de-hackers-nos-eua/ infection: • 2011 Data Breach Investigations Report, Verizon: http://nakedsecurity.sophos.com/2011/11/14/ambul http://securityblog.verizonbusiness.com/2011/04/1 ance-service-disrupted-by-computer-virus-infection 9/2011-data-breach-investigations-report-released/• Feds investigating whether Illinois "pump failure" • State of Software Security Report: The Intractable was cyber attack: Problem of Insecure Software, Veracode http://security.blogs.cnn.com/2011/11/18/feds- • Client-side threats: anatomy of Reverse Trojan investigating-whether-illinois-pump-failure-was- attacks, Frédéric Bourla cyber-attack/ • IOUG Data Security 2009: Budget Pressures Lead• Hacker targets S. Houston sewer system, mayor to Increase Risks, Independent Oracle Users says no harm done: Group http://www.chron.com/news/houston- texas/article/Hacker-targets-S-Houston-sewer- system-mayor-2277795.php• Pequena empresa vira alvo preferido de hackers14/2/2012 As Lendas em Segurança da Informação 22
  23. 23. Uso de ImagensTodas as imagens utilizadas nesta apresentação foram licenciadas pelos seusautores em Creative Commons:• Slide 1: http://www.flickr.com/photos/franciscoferreira/3779942366• Slide 2: http://www.jangadabrasil.com.br/revista/galeria/ca75002f.asp• Slide 4: http://www.flickr.com/photos/anonymous9000/4280254856• Slide 7: http://www.flickr.com/photos/chrishuggins/4736995818• Slide 10: http://www.flickr.com/photos/dalegillard/2385320696• Slide 12: http://www.flickr.com/photos/hvc/2682679414• Slide 15: http://www.flickr.com/photos/sundazed/2715354529• Slide 18: http://www.flickr.com/photos/aztlek• Slide 19: http://www.flickr.com/photos/16339684@N00/278462273114/2/2012 As Lendas em Segurança da Informação 23

×