2. AGENDA
Vendendo Segurança de Aplicações
Programa de Segurança
Metodologias
Processo em etapas
Ferramentas
Gestão e Classificação de Vulnerabilidades
Security Dashboard
Métricas de Segurança de Aplicações
Multinacionais brasileiras e as questões de conformidade
Conclusões
OWASP 2
3. Rafael B. Brinhosa
Formação acadêmica
MBA em Gestão Estratégica - Universidade Federal do Paraná (cursando)
Mestrado em Ciência da Computação - Universidade Federal de Santa Catarina,
Graduado em Sistemas de Informação - Universidade Federal de Santa Catarina
Principais certificações
ISO/IEC 27002, ISC(2) CSSLP, ISEB/ISTQB (CTFL), ITIL-F
Atuação profissional
Começou em 1998 com a TCSUL, logo após: EAMSC, CDI, DMI, LRG, EDS
(agora HP), DELL, NeoGrid / Agentrics…
Atualmente – Segurança da Informação NeoGrid (Brasil) e Agentrics (EUA,
Europa e Ásia), Comissão de SI e de Inovação
Professor Univille (disciplinas ligadas à computação).
Pesquisa
Framework WSIVM para Segurança em Web Services
…
Membro OWASP e CSA Brasil
OWASP 3
4. Segurança de aplicações ainda não é
prioridade na sua organização?
Você armazena dados de clientes?
Você desenvolve sistemas para os clientes?
(Clientes Internos? Externos? SaaS? In-house?)
Você terceiriza o desenvolvimento?
OWASP 4
6. Precisa evitar…
Processos na justiça
Perda de credibilidade
Queda nas ações
Reputação afetada
Imagem desgastada
Perda de Clientes (Potenciais e de Base)
Multas por regulamentações (Canadian Privacy Act, SOX,
PCI)
Utilização de recursos internos com propósitos indevidos
Servir de vetor de ataque aos sistemas de Clientes
Consequente perda de receitas!
OWASP
7. Talvez ela deva ser priorizada. Alguns
dados…
Durante 2010, em média foram encontradas 230 vulnerabilidades
sérias para cada web-site.
White-Hat Security Winter 2011 Report
Quando testadas pela primeira vez, mais da metade de todas as
aplicações falharam em atingir níveis aceitáveis de segurança, e
mais de 8 em cada 10 aplicações falhou em cumprir a OWASP Top
10.
Veracode State of Software Security Report Volume 3 2011
OWASP 7
25. Métricas de Segurança de Aplicações
Vulnerabilidades por nível de Risco
URLs Vulneráveis vs Não-Vulneráveis
Vulnerabilidades por Classificação OWASP TOP
10 2010
OWASP 25
26. Métricas de Segurança de Aplicações
Vulnerabilidades por Tecnologia (Java, .NET,
PHP)
Vulnerabilidades por linhas de código
Vulnerabilidades White-box versus Black-Box
Tempo Médio para Mitigação
Vulnerabilidades por oferta
Vulnerabilidades por trimestre
OWASP 26
27. Multinacionais brasileiras e as questões de
conformidade
Grandes clientes
Regulamentações
Multas
Classificação de dados local
OWASP 27
31. “Defender e proteger os dados dos clientes evitando a quebra de
confiança e a conseqüente perda de receita deve ser a missão
de cada colaborador. Todos somos responsáveis pela Segurança
da Informação. Segurança quantificada e madura, permeando
toda a organização e reduzindo riscos para o negócio deve fazer
parte da estratégia para a garantia da Sustentabilidade.”
— Rafael B. Brinhosa
OWASP 31
32. QUESTÕES
?
Rafael B. Brinhosa
rafael@brinhosa.com.br
@brinhosa
http://linkedin.com/in/brinhosa
http://about.me/brinhosa
OWASP 32