Política de Segurança da Informação Paulo Silva Tracker Segurança da Informação [email protected].
As lendas em segurança da informação
-
Upload
eduardo-neves -
Category
Technology
-
view
3.188 -
download
2
description
Transcript of As lendas em segurança da informação
AS LENDAS EM SEGURANÇA DA INFORMAÇÃOPorque algumas verdades podem não ser exatamente o que você espera
Eduardo V. C. Neves, [email protected]@evcneves
09/04/2023 As Lendas em Segurança da Informação 2
“Lenda é uma narrativa fantasiosa transmitida pela tradição oral através dos tempos.De caráter fantástico e/ou fictício, as lendas combinam fatos reais e históricos com fatos irreais que são meramente produto da imaginação aventuresca humana.”
Fonte: Wikipedia
09/04/2023 As Lendas em Segurança da Informação 3
As Lendas na Segurança da Informação
Existem narrativas fantasiosas em Segurança da Informação que devem ser questionadas e entendidas para garantir o uso destes recursos de forma adequada• Alguns tipos de negócio nunca serão um alvo• O firewall oferece proteção contra ameaças externas• Um penetration test identifica todas as falhas no perímetro• Segurança em software pode ser adiada para o próximo
release• As pessoas são o elo mais fraco
09/04/2023 As Lendas em Segurança da Informação 4
Alguns tipos de negócio nunca serão um alvo
09/04/2023 As Lendas em Segurança da Informação 5
09/04/2023 As Lendas em Segurança da Informação 6
Qualquer negócio pode ser um alvo
O crime virtual funciona como qualquer tipo de delito, a relação entre o risco envolvido e a recompensa esperada determina como um alvo será definido• O aumento da proteção em negócios tradicionalmente
atacados mudou a estratégia dos criminosos• 61% das fraudes no Brasil são realizadas por funcionários• As fraudes pela Internet somaram R$ 1,34 bilhões em 18
meses
09/04/2023 As Lendas em Segurança da Informação 7
O firewall oferece proteção contra ameaças externas
09/04/2023 As Lendas em Segurança da Informação 8
O firewall cumpre um papel específico
Apesar de ter agregado diversas funcionalidades ao longo dos anos, o firewall ainda é uma das muitas ferramentas de proteção necessárias em uma empresa• Um firewall permite o trafego web por ele ser menos
perigoso que as demais conexões• 75% das vulnerabilidades na Internet estão na camada de
aplicação• 84% dos vetores em ataques são remotos
09/04/2023 As Lendas em Segurança da Informação 9
09/04/2023 As Lendas em Segurança da Informação 10
Um penetration test identificatodas as falhas no perímetro
09/04/2023 As Lendas em Segurança da Informação 11
O penetration test é somente umdentre vários tipos de testes de segurança
Utilizado como teste máximo de eficiência das defesas do perímetro, o penetration test tem uma função que muitas vezes não é entendida em sua plenitude• O resultado depende do cenário e escopo.• O objetivo pode ser estabelecido de forma inadequada.• As necessidades de correção propostas muitas vezes não
são priorizadas. Ou mesmo realizadas.• Um penetration test mostra falhas no perímetro em um
momento temporal específico.
09/04/2023 As Lendas em Segurança da Informação 12
Segurança em software pode ser adiada para o próximo release
09/04/2023 As Lendas em Segurança da Informação 13
Falhas em software são fáceis de serem exploradas
A enorme quantidade de vulnerabilidades em software criou um cenário onde a exploração pode ser automatizada, aumentando exponencialmente a superfície de ataque• 66% do software comercial tem um nível inaceitável de
segurança• 70% das empresas não investem o suficiente para proteger o
software que utilizam• 34% das vulnerabilidades classificadas como de alto impacto não
são corrigidas• Adiar a segurança em software pode custar muito mais do que o
investimento inicial
09/04/2023 As Lendas em Segurança da Informação 14
09/04/2023 As Lendas em Segurança da Informação 15
As pessoas são o elo mais fraco
09/04/2023 As Lendas em Segurança da Informação 16
Os processos são o elo mais fraco
As empresas ainda tratam a Segurança da Informação como um ponto secundário em suas estratégias• 33% dos ataques ocorridos em 2010 exploraram ocorrências
de Cross Site Scripting e SQL Injection• 75% das empresas acreditam que serão vitimadas por
vazamentos de dados nos próximos 12 meses• 92% dos ataques ocorridos exploram vulnerabilidades
simples
09/04/2023 As Lendas em Segurança da Informação 17
Avalie o cenário de formaholística e pense um pouco
09/04/2023 As Lendas em Segurança da Informação 18
O comportamento corporativo em relação a segurança ainda é inadequado
09/04/2023 As Lendas em Segurança da Informação 19
Como não ser vítima das crendices em Segurança da Informação?
09/04/2023 As Lendas em Segurança da Informação 20
Tudo é um questão de gerenciamento dos riscos
A Segurança da Informação deve ser entendida como uma das ferramentas que as empresas tem para manter os riscos aos negócios em níveis aceitáveis• Entender os problemas antes de buscar soluções• Aceitar que o ótimo pode ser inimigo do bom, mas nem
sempre• Abordar a proteção de forma ampla, observando
vulnerabilidades que vão muito além da tecnologia
09/04/2023 As Lendas em Segurança da Informação 21
09/04/2023 As Lendas em Segurança da Informação 22
Referências
As referências apresentadas foram acessadas pela Internet entre os dias 15 e 19 de novembro de 2011• Ambulance service disrupted by computer virus
infection: http://nakedsecurity.sophos.com/2011/11/14/ambulance-service-disrupted-by-computer-virus-infection
• Feds investigating whether Illinois "pump failure" was cyber attack: http://security.blogs.cnn.com/2011/11/18/feds-investigating-whether-illinois-pump-failure-was-cyber-attack/
• Hacker targets S. Houston sewer system, mayor says no harm done: http://www.chron.com/news/houston-texas/article/Hacker-targets-S-Houston-sewer-system-mayor-2277795.php
• Pequena empresa vira alvo preferido de hackers nos EUA: http://blogs.estadao.com.br/radar-economico/2011/07/21/pequena-empresa-vira-alvo-preferido-de-hackers-nos-eua/
• 2011 Data Breach Investigations Report, Verizon: http://securityblog.verizonbusiness.com/2011/04/19/2011-data-breach-investigations-report-released/
• State of Software Security Report: The Intractable Problem of Insecure Software, Veracode
• Client-side threats: anatomy of Reverse Trojan attacks, Frédéric Bourla
• IOUG Data Security 2009: Budget Pressures Lead to Increase Risks, Independent Oracle Users Group
09/04/2023 As Lendas em Segurança da Informação 23
Uso de Imagens
Todas as imagens utilizadas nesta apresentação foram licenciadas pelos seus autores em Creative Commons:• Slide 1: http://www.flickr.com/photos/franciscoferreira/3779942366 • Slide 2:
http://www.jangadabrasil.com.br/revista/galeria/ca75002f.asp • Slide 4: http://www.flickr.com/photos/anonymous9000/4280254856
• Slide 7: http://www.flickr.com/photos/chrishuggins/4736995818 • Slide 10: http://www.flickr.com/photos/dalegillard/2385320696 • Slide 12: http://www.flickr.com/photos/hvc/2682679414 • Slide 15: http://www.flickr.com/photos/sundazed/2715354529 • Slide 18: http://www.flickr.com/photos/aztlek• Slide 19:
http://www.flickr.com/photos/16339684@N00/2784622731