App Sucesu 07out08
-
Upload
conviso-application-security -
Category
Technology
-
view
384 -
download
0
Transcript of App Sucesu 07out08
A Segurança Técnica como Base para os Processos de Gestão de Riscos
Eduardo Vianna de Camargo Neves, CISSP Gerente de Operações
75% dos vazamentos de dados foram executados por ameaças externas
em múltiplas combinações de eventos 2008 Verizon Data Breach Investigations Report
Ocorrências derivadas da falta de controles técnicos de segurança
0% 10% 20% 30% 40% 50%
Excesso de privilégios
Segregação de funções
Logs
User Cleaning
Controle de acesso
Pontos de Auditoria
Fonte: DTT 2007 Global Security Survey
Maioria adequada
40%
Parte adequada
28%
Poucos adequados
13%
Desconhecido
15%
Inseguros 4%
Segurança de Bancos de Dados
Fonte: IOUG Enterprise Data Insecurity: Are Organizations Prepared for the Threat From Within?
Resultados derivados da falta de controles técnicos de segurança
$0
$500,000,000
$1,000,000,000
$1,500,000,000
$2,000,000,000
$2,500,000,000
$3,000,000,000
$3,500,000,000
$4,000,000,000
Perda de Receita por Fraude On Line
Fonte: Cybersource 9th Annual Online Fraud Report
Empresa Evento Impacto
CardSystems 40 milhões de contas
acessadas por um cracker
Perda de 95% da receita
Valve Código de video game
furtado Atraso de 6 meses no
lançamento
DSW Base de dados de
clientes acessada por um cracker
Redução no preço de venda durante IPO
Pharmatrak Coleta de dados
pessoais sem autorização
Pedido de falência após processos
Comair Sistema de booking
falhou na véspera do Natal de 2004
Prejuízos diretos de US$ 20 milhões
Algumas recomendações
• Administrar o escopo técnico do seu Ambiente Informatizado
• Capacitar a sua equipe de forma equilibrada
• Implementar a gestão de segurança por camadas
• Administrar os controles de forma integrada
Alguns recursos para capacitação e suporte à gestão
• Listas de Discussão
• Ferramentas Open Source
• OWASP (Open Web Application Security Project)
• NIST (National Institute of Standards and Technology)
• ISSA (International Systems Security Association)
Como se envolver?
• ISSA Brasil Sul • [email protected]
• OWASP Brasil • [email protected]
OWASPThe Open Web Application Security Project