O documento discute a responsabilidade pela segurança de aplicações, destacando que (1) 70% das aplicações testadas possuem falhas sérias, (2) a gestão de vulnerabilidades é fundamental, e (3) as organizações precisam investir mais em boas práticas de segurança desde o início do desenvolvimento para reduzir custos com falhas no futuro.

1. Uma verdade inconveniente
Quem é responsável pela
INsegurança das aplicações?
SegInfo 2014 - Rio de Janeiro - Wagner Elias
Thursday, May 8, 2014

2. Alguns Números
Thursday, May 8, 2014

3. Apenas identificar falhas não é suficiente
O número de vulnerabilidades em aplicações é alto
Estatísticas
Política de Segurança
70% das aplicações testadas possuem uma ou mais falhas de segurança
consideradas sérias de acordo com políticas de segurança das empresas
OWASP Top 10
87% das aplicações testadas possuem uma ou mais falhas classificadas
entre as 10 principais falhas de segurança em aplicações web
SANS Top 25
69% das aplicações testadas possuem uma ou mais classificadas entre as
25 principais falhas de software
Fonte: State of Software Security Report - The Intractable Problem of Insecure Software - APRIL 2013
Thursday, May 8, 2014

4. Apenas identificar falhas não é suficiente
Gestão de vulnerabilidade é fundamental
Práticas isoladas não resolvem
Indústria
Vulnerabilidades Sérias
Reportadas
Vulnerabilidades
Corrigidas
Dias Expostos
Overall 230 53% 233
Banking 30 71% 74
Education 80 40% 164
Financial Services 266 41% 184
Healthcare 33 48% 133
Insurance 80 46% 236
IT 111 50% 221
Manufactoring 35 47% 123
Retail 404 66% 328
Social Networking 71 47% 159
Telecomunications 215 63% 260
Fonte: WhiteHat Website Security Statistics Report - 2011
Thursday, May 8, 2014

5. Um pouco sobre
desenvolvimento
Thursday, May 8, 2014

6. Apenas identificar falhas não é suficiente
O maior problema é a desinformação
Mitos
Contratei uma boa empresa
Empresas de desenvolvimento de software geralmente não dominam
práticas de segurança em desenvolvimento de software
Segurança aumenta o custo
Segurança não é opcional. O desenvolvimento deve compreender as
práticas de desenvolvimento seguro e entregar software com qualidade
Tenho bons programadores
Bons programadores sem a devida capacitação desconhecem práticas de
segurança de software
Thursday, May 8, 2014

7. Quem é o culpado?
Thursday, May 8, 2014

8. Apenas identificar falhas não é suficiente
VOCÊ!
Thursday, May 8, 2014

9. Apenas identificar falhas não é suficiente
Continuamos comprando errado
Nós não estamos preparados
Requisitos fracos
Segurança ainda não é claramente definido como requisito fundamental em
projetos de desenvolvimento de software
Baixo investimento
As organizações ainda não acreditam nos benefícios trazidos por boas
práticas de segurança em desenvolvimento de software
Não existe proatividade
A maioria das organização ainda acredita que apenas testar é suficiente,
negligenciando as práticas de segurança em desenvolvimento de software
Thursday, May 8, 2014

10. O que eu ganho com isso?
Thursday, May 8, 2014

11. Apenas identificar falhas não é suficiente
Análises internacionais mostram um aumento exponencial no
custo para o tratamento de falhas ao longo do tempo
Investimento Certo
$0
$3,750
$7,500
$11,250
$15,000
Requisitos Design Código Teste Operação
$139 $455
$977
$7,136
$14,102
$ 14.102
Consequências: Fraudes;
Danos a Imagem;
Vazamento de Informações
Custo
Tempo
Thursday, May 8, 2014

12. Atuação em todo Brasil e exterior
Rua Marechal Hermes 678 CJ 32
CEP 80530-230, Curitiba, PR
T (41) 3095-3986
Wagner Elias
welias@conviso.com.br
Obrigado
Siga no Twitter
https://twitter.com/conviso
Curta a Fanpage no Facebook
https://facebook.com/convisoappsec
Conheça o nosso blog
http://blog.conviso.com.br
Thursday, May 8, 2014