A Segurança Técnica como Base para os Processos de Gestão de Riscos

Eduardo Vianna de Camargo Neves, CISSP Gerente de Operações

quebrando paradigmas

A maior causa das falhas de segurança é o usuário interno

75% dos vazamentos de dados foram executados por ameaças externas

em múltiplas combinações de eventos 2008 Verizon Data Breach Investigations Report

Uma Política de Segurança é a chave para a gestão de riscos

Instituições financeiras que operam nos EUA estão aderentes

ao SOX

Ocorrências derivadas da falta de controles técnicos de segurança

0% 10% 20% 30% 40% 50%

Excesso de privilégios

Segregação de funções

Logs

User Cleaning

Controle de acesso

Pontos de Auditoria

Fonte: DTT 2007 Global Security Survey

Maioria adequada

40%

Parte adequada

28%

Poucos adequados

13%

Desconhecido

15%

Inseguros 4%

Segurança de Bancos de Dados

Fonte: IOUG Enterprise Data Insecurity: Are Organizations Prepared for the Threat From Within?

Resultados derivados da falta de controles técnicos de segurança

$0

$500,000,000

$1,000,000,000

$1,500,000,000

$2,000,000,000

$2,500,000,000

$3,000,000,000

$3,500,000,000

$4,000,000,000

Perda de Receita por Fraude On Line

Fonte: Cybersource 9th Annual Online Fraud Report

Empresa Evento Impacto

CardSystems 40 milhões de contas

acessadas por um cracker

Perda de 95% da receita

Valve Código de video game

furtado Atraso de 6 meses no

lançamento

DSW Base de dados de

clientes acessada por um cracker

Redução no preço de venda durante IPO

Pharmatrak Coleta de dados

pessoais sem autorização

Pedido de falência após processos

Comair Sistema de booking

falhou na véspera do Natal de 2004

Prejuízos diretos de US$ 20 milhões

Estabelecimento do Modelo de Proteção

Estabelecimento do Modelo de Proteção

Estabelecimento do Modelo de Proteção

Estabelecimento do Modelo de Proteção

Estabelecimento do Modelo de Proteção

Algumas recomendações

•  Administrar o escopo técnico do seu Ambiente Informatizado

•  Capacitar a sua equipe de forma equilibrada

•  Implementar a gestão de segurança por camadas

•  Administrar os controles de forma integrada

Alguns recursos para capacitação e suporte à gestão

•  Listas de Discussão

•  Ferramentas Open Source

•  OWASP (Open Web Application Security Project)

•  NIST (National Institute of Standards and Technology)

•  ISSA (International Systems Security Association)

Como se envolver?

•  ISSA Brasil Sul •  regionalsul@issabrasil.org

•  OWASP Brasil •  eduardo.neves@owasp.org

OWASPThe Open Web Application Security Project

Obrigado pela sua presença