Gestão De Riscos Com Base No Monitoramento De Ameaças
É necessário ter consciência de que os crimes no mundo digital estão, invariavelmente, a um clique de distância e não respeitam leis e fronteiras. Por isso, a segurança tecnológica é fundamental para proteção das empresas, frente aos avanços do cibercrime. Não é tarefa simples estruturar um plano de trabalho que contemple da gestão das análises de vulnerabilidades até o gerenciamento e monitoração de ameaças na grande rede, especialmente frente aos novos desafios, como a implementação do IPv6, o Bring yout own Disaster (BYOD) e a Internet das Coisas (IoT). Para conseguir alcançar sucesso neste universo desafiador, além dos conhecimentos técnicos, é necessário trabalhar uma habilidade não tão natural aos colaboradores de tecnologia: a comunicação. É necessário elevar o nível da comunicação, ao invés de se resumir à linguagem técnica, distante e difícil de ser compreendida pelos executivos. O motivador na escolha do tema “Riscos Tecnológicos e Monitoramento de Ameaças" é a oportunidade de compartilhar com os colegas e profissionais de Segurança da Informação as experiências práticas e desafios vivenciados na condução, estruturação e desenvolvimento de um Security Officer em uma das maiores empresa do segmento de Mídia Digital & Comunicação do mundo.
Gestão De Riscos Com Base No Monitoramento De Ameaças
1. GESTÃO DE RISCOS com base no MONITORAMENTO DE AMEAÇAS
Leandro Bennaton
CNASI 2014
2. Leandro Bennaton
Executivo de Segurança do Grupo Telefónica:
• Chief Security Officer responsável Global por
Segurança e Conformidade no TERRA
• Chief Security Ambassador na ELEVEN PATHS
• Security Mentor na WAYRA
• Professor Pós Graduação na FIAP
Pós graduado, com MBA em Gerenciamento de
Segurança da Informação e certificações
internacionais. Participa do Information Security
Forum e ativamente no Comitê Gestor da Internet.
Premiado em 2013 como o melhor executivo de
Segurança pela organização Security Leaders.
@bennaton
3. Atuação
Equipe GLOBAL com sede em SP, responsável por Argentina, Brasil, Chile,
Colômbia, Estados Unidos, Espanha, México e Peru
4. Atividades
Requerimentos Legais
Controle de Acesso
Auditoria e Conformidade
Segurança Física
Gestão de Incidentes
Fraudes
Segurança Tecnológica
Politicas & Normas
Conscientização
Proteção da Marca
14. O que fazer?
For better security, think like a bad guy
15. Superfície de Ataque
Contas de E-mails (spammers)
E-commerce (cartões de créditos)
Base de Clientes (informações cadastrais)
Visibilidade e Abrangência (volume de acesso)
Hospedagem (fake pages)
16. Ambiente
268.000 endereços IPs válidos
(Internet)
101.000 endereços internos
(backnet e ambiente corporativo)
280 aplicações web (próprias e de
parceiros de conteúdo)
3 datacenters/ 10 escritórios
(Global)
18. Metodologia - Infra
GreyBox
Utilização de credenciais legitimas, visando a validação das
permissões de acesso e autorização estão em conformidade
com as necessidades de negócio.
FASES
Discovering Scanning Enumeration Gaining Access
• Destaque para as fases de Scanning e Enumeration;
• No geral, a fase de Gaining Access, é realizada em aplicações onde há a
necessidade de comprovar o impacto de vulnerabilidades críticas.
19. Metodologia - Aplicação
Testes realizados com base nos 66
controles apresentados pelo OWASP
TESTING GUIDE (v3.0):
Information Gathering
Configuration Management Testing
Business Logic Testing
Authentication Testing
Authorization testing
Session Management Testing
Data Validation Testing
Denial of Service Testing
Web Services Testing
Ajax Testing
21. Projeto Processo
Projeto em fases
(Externo, Interno e Aplicações)
Cronograma e Comunicação
Reporte executivos com
informações relevantes
Plataforma Web, em real time
25. Gestão de Riscos
Transformar o “tecniques” em
linguagem de negócio
Apoio do CEO, CTO, direção
Maior envolvimento de áreas de
Tecnologia
Métricas, Indicadores do PLR
Mapa de Riscos Tecnológicos
(atualização Trimestral/ reunião Semestral)
27. Gestão de Riscos
+11.000 vulnerabilidades tratadas
Melhor nível de proteção
Não há defacement desde mar/12
Percepção dos executivos da
importância de SI e Governança
Aumento da maturidade e cultura
da Segurança da Informação