soluções de segurança da informação para o mundo corporativo (atualidade e projeção de...
Post on 18-Nov-2014
2.702 Views
Preview:
DESCRIPTION
TRANSCRIPT
Soluções de Segurança da Informaçãopara o mundo corporativo
Atualidade e Projeção de Mercado
Rafael Soares FerreiraDiretor de Resposta a Incidentes e Auditoriasrafael@clavis.com.br
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
3
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Disponibilidade
Confidencialidade
Integridade
Conceitos
>> Segurança da Informação
4
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
>> Vulnerabilidades
● Falhas de projeto, implementação ouconfiguração de redes, sistemas ou aplicações
● Resultam em violação da segurança
● Algumas vezes são descobertas pelo própriofabricante, outras não...
Conceitos
5
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Onde encontrá-las?
Conceitos
>> Vulnerabilidades
● Listas de discussão
● Site do Fabricante
● Sites especializados
● Todas as anteriores...
www.seginfo.com.br
6
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
>> Incidentes de Segurança
● Comprometimento dos pilares da SI
● Violação da política de segurança
Conceitos
7
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Principais Ameaças
● Vírus, Worms, Cavalos de Tróia ...
● Acesso não Autorizado (Interno/Externo)
● Fraudes / Engenharia Social
● Furto de Equipamentos
● Negação de Serviço
8
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Principais Ameaças
● Pichação de Sites (Defacement)
● Injeção de Códigos
● Senhas Padrão / Força Bruta
● Captura de Tráfego
● Vulnerabilidades
9
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Principais Ameaças
Fonte: Cert.br
10
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Fonte: Cert.br
Principais Ameaças
11
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Principais Ameaças
Fonte: Cert.br
12
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Principais Ameaças
Fonte: Cert.br
13
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Política de Segurança
● Normas, Processos e Diretrizes
● Continuidade do Negócio
● Conscientização e Orientação
● Padronização nos processos organizacionais
● Definição de responsabilidades
● Conformidade
14
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Cultura e Capacitação
● Divulgação dos conceitos de segurança
● Melhor aceitação de controles de segurança
● Conscientização sobre os riscos
● Capacitação Técnica
● Prevenção contra ataques de Engenharia
Social
15
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
● Política de Segurança ou de uso aceitável
● Programa de Treinamento em SI para funcionários
Fonte: Cetic.br
Medidas de Apoio à SI
16
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Proteção Corporativa
● Controles de Acesso
● Sistemas de Detecção/Prevenção de Intrusão
● Sistemas de Monitoramento
● Sistemas Antivírus e AntiSpam
● Filtro de Conteúdo Web
● Soluções de Backup e Redundância
● Gerenciamento de Registros (Logs)
17
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Fonte: Cetic.br
Tecnologias Adotadas
18
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Fonte: Cetic.br
Tecnologias Adotadas
19
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Análise Executiva de SI
● Mapeamento de processos
● Análise de vulnerabilidades
● Avaliação do grau de exposição
● Conformidade com boas práticas
20
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Administração Segura
● Análise de desempenho e vulnerabilidades
● Constante fortalecimento dos servidores
● Controles de segurança
● Alta Disponibilidade
21
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Teste de Invasão (PenTest)
● Simulação de ataques reais
● Teste dos controles de segurança existentes
● Homologação e Conformidade
● Testa sistemas, equipes e processos
● OSSTMM, ISSAF, NIST800-42, OWASP
22
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
>> OSSTMMOpen Source Security Testing Methodology Manual
>> NIST 800.42Guideline on Network Security Testing
>> OWASPOpen Web Application Security Project
>> ISSAFInformation Systems Security Assessment Framework
Teste de Invasão (PenTest)
23
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Segurança Redes sem Fio
● Projeto e Implementação segura
● Cobertura e Exposição
● Controles de Acesso ao meio
● Políticas de Uso
● Prevenção de Intrusão
24
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Resposta a Incidentes
● Encaminhamento de incidentes
● Recomendações de correção
● Isolamento e Contensão
● Recuperação
● Investigação das causas principais
● Implementação de Correções
25
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Análise Forense
● Coleta de dados
● Preservação das Evidências
● Correlação das Evidências
● Elaboração da linha do tempo
● Respaldo jurídico
● Laudo pericial
26
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
“Perdas com fraude aumentaram em 20% nosÚltimos 12 meses, afirma estudo” - (20/10/2010)
Notícias Recentes
Fonte: www.seginfo.com.br
“Quase metade dos internautas brasileiros temdificuldade de distinguir spams de emails
autênticos” - (21/10/2010)
“550 mil computadores infectados em botnets sóno Brasil” - (13/10/2010)
27
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Notícias Recentes
Fonte: www.seginfo.com.br
“Aumenta o número de invasões por usuáriosmaliciosos em empresas de médio e grande
porte” - (13/10/2010)
“Cresce o número de phishing destinado a redessociais e sites de universidades” - (12/10/2010)
“Raphael Mandarino afirma: O governo tem investidona capacitação de profissionais para defesa
cibernética.” - (12/10/2010)
28
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Notícias Recentes
Fonte: www.seginfo.com.br
“Ataques a servidores Web cresceram 41% emApenas 3 meses” - (07/10/2010)
“Ministério da Segurança Pública do Canadápublica estratégia de Ciber Segurança
para o país” - (05/10/2010)
“Pesquisa revela crescimento da terceirizaçãona área de segurança da informação nas
empresas” - (03/10/2010)
“Ministério da Segurança Pública do Canadápublica estratégia de Ciber Segurança
para o país” - (05/10/2010)
29
Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
2010
Fim...
Muito Obrigado!
Rafael Soares Ferreirarafael@clavis.com.br
top related