ethical hacking - apresentando os riscos da cyber security para executivos
TRANSCRIPT
Bem-vindo ao Circuito de Palestras EXIN 2015 Conheça o novo Portfólio EXIN:
NOSSO TEMA DE HOJE:
Ethical Hacking – Apresentando os riscos da cyber security para executivos
Descrição: O cybercrime é o delito com maior índice de crescimento. Mais e mais criminosos estão explorando a velocidade, comodidade e anonimato da internet para cometer uma gama diversificada de atividades criminosas que não conhecem fronteiras (físicas ou virtuais).
Atualmente o número da população em relação a utilização de dispositivos móveis cresce exponencialmente, tendo a previsão de que cada ser humano irá utilizar de até 6 dispositivos conectados durante o seu dia. Isto representa um maior número de pessoas estarão cada vez mais vulneráveis e necessitam serem treinadas e capacitadas em relação ao tema para que sejam evitados prejuízos bilionários nas organizações e até mesmo roubos de informações pessoais.
NOSSO TEMA DE HOJE:
Ethical Hacking – Apresentando os riscos da cyber security para executivos
Palestrante: Ricardo Tavares
Mais de quinze anos de experiência em Tecnologia da Informação, ocupando cargos de gestão e coordenação em Governança e Segurança da Informação. Certificado como CISM (ISACA), CRISC (ISACA), CGEIT (ISACA), TOGAF CERTIFIED (TOG), GPEN E GIHC (SANS), ISMAS (EXIN). Foi responsável pela gestão e implementação de projetos de modelo de Governança, Planejamento Estratégico, Gerenciamento de Serviços, Escritório de Projetos, Prevenção à Fraude Corporativa e Segurança da Informação em empresas multinacionais e de grande porte tais como: Hewlett Packard, AT&T Latin América, TELMEX, Banco Bradesco entre outras empresas líderes no mercado nacional e internacional. É sócio-diretor da DARYUS Consultoria e DARYUS ITSM sendo líder de CyberSecurity e Arquitetura Corporativa.
Ethical Hacking – Apresentando os riscos da cyber security para executivos
• Realização: DARYUS e EXIN
• Sobre a DARYUS
– Grupo líder na capacitação e consultoria em Gestão de Riscos, Segurança da Informação e Cibernética e Continuidade de Negócios, atendendo mais de três mil alunos em treinamento, mais de 22 turmas formadas nos cursos de pós-graduação de Segurança da Informação e Perícia Forense.
– 1º empresa a estruturar, iniciar e credenciar pós-graduações junto ao EXIN de Cyber Security e Gestão de Serviços de TI com base nas certificações reconhecidas internacionalmente.
Ethical Hacking – Apresentando os riscos da cyber security para executivos
Cyber SecurityCenário Global
Global Risk Landscape 2015 (World Economic Forum)
Internet das Coisas (IoT)
Internet das Coisas (IoT)
Cyber Crime As A ServiceAscenção dos serviços de
hacking
Internet das Coisas (IoT)
54% dos 200 milhões de habitantes no País
possuem acesso à internet
Maturidade em Segurança
Cibernética é baixa
Segundo maior gerador de
cibercrimes no mundo
Primeira posição na América Latina e
Caribe (Fonte e Alvo)
Perde US$ 8 bilhões por ano com
fraudes digitais
95% das perdas dos bancos do Brasil vem
do cibercrime (fonte: FEBRABAN)
Incidentes
Em Abril de 2014 foi estimado que 40.000 monitores
de bebês estavam
vulneráveis.
95% dos ATMs utilizam Windows XP.
Equipamentos médicos já são
invadidos
No primeiro semestre de 2014 foram
roubados 439 milhões de registros do
setor bancário
Em média30.000sites são
invadidos por dia
Mais da metade dos maiores
bancos do mundo já tiveram
incidentes de segurança em
seus sites web.
Incidentes
Os custos de incidentes de
segurança aumentaram em
24%.
Empresas reportando
perdas de $10 milhões a $19.9
milhões aumentou em
24%.
Um único grupo hacker foi capaz
de roubar $1 bilhão de 30
bancos espalhados pelo
mundo.A violação
JPMorgan Chase & Co afetou cerca de 76
milhões de lares e 7 milhões de
pequenas empresas
Syrian Electronic Arm invadiu o site
das forças armadas
americana.
Target, invadida em 2013 pagará $10 milhões como dano
para os seus clientes.
Vulnerabilidades humanas
1. 1234562. Password3. 123454. 123456785. Qwerty6. 1234567897. 12348. Baseball9. Dragon10.football
Piores senhas de 2014
EthicalHacking
O que é?
O objetivo do Ethical Hacking é modelar as ações de ameaças do mundo real para encontrar vulnerabilidades e de uma forma controlada explorar estas vulnerabilidades determinando o risco ao negócio e recomendando defesas apropriadas que podem ser integradas na operação da organização alvo.
Diferença entre Ethical Hacking, Análise de Vulnerabilidade e Auditoria
Security Assessments (vulnerability assessments)
Focado somente em encontrar vulnerabilidades de segurança, as quais poderão ser usadas ou não para obter
ou roubar dados. Envolve o processo de olhar para falhas de segurança, mais
superficial. Normalmente inclui revisões de políticas e procedimentos, que normalmente não são incluídos no
penetration testing.
Security AuditsTestes sobre um rigoroso conjunto de
padrões (medir). Muitas vezes realizado com um checklist detalhado.
Porque fazer o processo de Ethical Hacking
Encontrar vulnerabilidades
antes que os criminosos;
Medir a efetividade sobre o
que está implementado;
Ponto de decissão sobre a
necessidade de ações ou recursos
(decisores darão mais atenção);
Prova mais concreta do mundo real
Tipos de Ethical Hacking
Network services test
Client-side test
Web application test
Remote dial-up war dial test
Wireless security test
Social engineering
test
Physical security test
Stolen equipament
test
Cryptanalysis attack
Fases do processo de Ethical Hacking
PlanejamentoReconhecimentoScanning
Exploração Manter acessoCobrir os rastros
Metodologias Utilizadas
Open Source Security Testing Methodology
Manual (OSSTMM)
Nist (National Institute of Standart and
Technology) Special Publication 800-115
NIST 800-53A
Open Web Application Security
Project (OWASP) Testing Guide
Penetration Testing
Framework
Apresentando osResultados aos
Executivos
O que uma apresentação executiva deve possuir
• Sumário;• Findings de Riscos altos e médios;• Conclusão.
Sumário
• Visão geral (onde, quem, quando, como);
• Findings significantes com o risco e impacto resumido.
Findings
• O que foi encontrado;• Risco;• Recomendação;• Ações que serão realizadas (se possível).
Findings - Qual será o foco?
• Deve-se sempre demonstrar o risco para o negócio e não para a tecnologia;
• Priorizar os riscos de acordo com a importância do negócio;
• Abordagem baseada em processo de negócios.
Findings - Entender o apetite de risco da organização
Impacto na marca
Prejuízos financeiros
Perder vantagem
competitiva
Segurança pessoal dos
colaboradores
Riscos legais
Findings - Como o risco se concretizou?
Demonstratar de forma objetiva: • Como o risco se concretizou;• O nível de dificuldade para que se
concretize;• As contramedidas atuais (sempre é
bom valorizar o que já existe).
Fidings - O que não deve ser feito
• Copiar e colar as informações/relatórios das ferramentas de análise de vulnerabilidade;
• Inclusão de itens ridículos, que não demonstram um risco real;
• Inclusão de intens com um risco muito baixo;
• Inserir os usuários e senhas capturados no documento que será apresentado.
Conclusão
• Maturidade do ambiente comparado com empresas do mesmo seguimento;
• Quais serão os próximos passos (linha de tempo).
Benefícios aos participantes
• Workshop Internacional de Ethical Hacking e Secure Programming com os fundadores da Security Academy;
• Descontos para pós-graduações de Cyber Security e Gestão de Serviços de TI e treinamentos livres relacionados;
• Desconto exclusivo de 80% para participação no maior evento de GRC – o Global Risk Meeting;
ACESSO AO MATERIAL
• Vamos disponibilizar na próxima semana:– Link desta apresentação no YouTube e SlideShare. – Informativo sobre o Programa de Certificação – tema central da
Palestra– Certificado de Participação: se precisar deste documento,
envie sua solicitação para [email protected] com seu nome completo.
• Por favor, responda nossa PESQUISA DE SATISFAÇÃO (pop-up ao finalizar o programa webex) e deixe suas sugestões para ajudar a aprimorar nossas futuras ações.
No nosso canal do YouTube e Slide Share você tem acesso a todas as apresentações realizadas desde 2012, link será enviado por e-mail.
Dúvidas?
Vamos iniciar a sessão de PERGUNTAS.
Utilize a ferramenta do chat (para digitar).
Mais Informações?
Milena AndradeRegional Manager
Ricardo TavaresSócio-Diretor