Post on 17-Jul-2015
Uma verdade inconveniente Quem é responsável pela INsegurança das aplicações?SegInfo 2014 - Rio de Janeiro - Wagner Elias
Thursday, May 8, 2014
Alguns Números
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
O número de vulnerabilidades em aplicações é alto
Estatísticas
Política de Segurança
70% das aplicações testadas possuem uma ou mais falhas de segurançaconsideradas sérias de acordo com políticas de segurança das empresas
OWASP Top 10
87% das aplicações testadas possuem uma ou mais falhas classificadas entre as 10 principais falhas de segurança em aplicações web
SANS Top 25
69% das aplicações testadas possuem uma ou mais classificadas entre as 25 principais falhas de software
Fonte: State of Software Security Report - The Intractable Problem of Insecure Software - APRIL 2013
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
Gestão de vulnerabilidade é fundamental
Práticas isoladas não resolvem
Indústria Vulnerabilidades Sérias Reportadas
Vulnerabilidades Corrigidas
Dias Expostos
Overall 230 53% 233
Banking 30 71% 74
Education 80 40% 164
Financial Services 266 41% 184
Healthcare 33 48% 133
Insurance 80 46% 236
IT 111 50% 221
Manufactoring 35 47% 123
Retail 404 66% 328
Social Networking 71 47% 159
Telecomunications 215 63% 260
Fonte: WhiteHat Website Security Statistics Report - 2011
Thursday, May 8, 2014
Um pouco sobre desenvolvimento
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
O maior problema é a desinformação
Mitos
Contratei uma boa empresa
Empresas de desenvolvimento de software geralmente não dominam práticas de segurança em desenvolvimento de software
Segurança aumenta o custo
Segurança não é opcional. O desenvolvimento deve compreender as práticas de desenvolvimento seguro e entregar software com qualidade
Tenho bons programadores
Bons programadores sem a devida capacitação desconhecem práticas de segurança de software
Thursday, May 8, 2014
Quem é o culpado?
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
VOCÊ!
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
Continuamos comprando errado
Nós não estamos preparados
Requisitos fracos
Segurança ainda não é claramente definido como requisito fundamental em projetos de desenvolvimento de software
Baixo investimento
As organizações ainda não acreditam nos benefícios trazidos por boas práticas de segurança em desenvolvimento de software
Não existe proatividade
A maioria das organização ainda acredita que apenas testar é suficiente, negligenciando as práticas de segurança em desenvolvimento de software
Thursday, May 8, 2014
O que eu ganho com isso?
Thursday, May 8, 2014
Apenas identificar falhas não é suficiente
Análises internacionais mostram um aumento exponencial no custo para o tratamento de falhas ao longo do tempo
Investimento Certo
$0
$3,750
$7,500
$11,250
$15,000
Requisitos Design Código Teste Operação
$139 $455$977
$7,136
$14,102$ 14.102
Consequências: Fraudes; Danos a Imagem;
Vazamento de InformaçõesCusto
Tempo
Thursday, May 8, 2014
Atuação em todo Brasil e exterior
Rua Marechal Hermes 678 CJ 32CEP 80530-230, Curitiba, PRT (41) 3095-3986
Wagner Eliaswelias@conviso.com.br
Obrigado
Siga no Twitterhttps://twitter.com/conviso
Curta a Fanpage no Facebookhttps://facebook.com/convisoappsec
Conheça o nosso bloghttp://blog.conviso.com.br
Thursday, May 8, 2014