Porque a Segurança Técnica é a base da Gestão de Riscos por Eduardo Vianna de Camargo Neves ...
Camargo Neves RMSA Repetição do ErroFocando somente em vulnerabilidades em Aplicações Web, os resultados do OWASP Top 10mo...
Camargo Neves RMSO Fator HumanoQuando olhamos outra fonte confiável de informação sobre vulnerabilidades, podemos concluir...
Camargo Neves RMSminha, e existem ainda recursos na Internet que custam só o seu tempo de ler, entender eaplicar.OWASPO OW...
Camargo Neves RMSConcluindoImpedir a ocorrência de problemas em Segurança da Informação é uma tarefa impossível, queningué...
of 5

Porque a segurança técnica é a base da gestão de riscos

Published on: Mar 4, 2016
Published in: Business      
Source: www.slideshare.net


Transcripts - Porque a segurança técnica é a base da gestão de riscos

  • 1. Porque a Segurança Técnica é a base da Gestão de Riscos por Eduardo Vianna de Camargo Neves 02 de maio de 2009Em qualquer mercado, sempre existe uma buzzword que toma a mídia especializada e asconversas dos profissionais nas rodas de bate papo e início de reuniões. Nos últimos meses, oconceito de Governança, Risco e Compliance (GRC) tem aparecido como uma das principaisiniciativas em Segurança da Informação, onde um framework muito bem estruturado, ajuda asorganizações a manterem o risco em seus ambientes dentro de níveis toleráveis por quem pagaa conta.Isso é sensacional, e me deixa satisfeito de ver que a especialização que escolhi como carreira,finalmente assume um papel estratégico. Porém, existe uma base que muitas vezes é esquecidae até desprezada pelas empresas e profissionais que cuidam dos seus processos de segurança: asegurança técnica. Apesar de ser a parte mais fundamental para a manutenção de um ambienteseguro, este componente é continuamente colocado como item de segunda linha, ou que nãoprecisa de pessoas especializadas para ser adequado e administrado. Isto não é uma opiniãopessoal, existem fatos que deixam claro o quanto precisamos melhorar neste aspecto.
  • 2. Camargo Neves RMSA Repetição do ErroFocando somente em vulnerabilidades em Aplicações Web, os resultados do OWASP Top 10mostram que apesar de ter obtido em 2007 um crescimento de espantosos 43% em relação aoano anterior e ter gerado mais de R$ 6 bilhões somente no Brasil, a “cara” do comércioeletrônico é mantida de forma quase amadora.Um relatório publicado recentemente pela consultoria White Hat Security, concluiu que 90% dos 1web sites estão vulneráveis a ataques diversos . Este número pode até mesmo ser um exageroou uma tentativa de FUD, mas que tal analisarmos os resultados do OWASP Top 10 2007 quevariam pouco desde 2004?A tabela abaixo deixa claro que pouca coisa mudou em três anos, e vulnerabilidades jáconhecidas e com processos corretivos publicados em diversas fontes na Internet, simplesmentenão são corrigidas. OWASP Top 10 2007 Ranking OWASP Top 10 2004 Cross Site Scripting (XSS) 01 Unvalidated Input Injection Flaws 02 Broken Access Control Broken Authentication and Session Malicious File Execution 03 Management Insecure Direct Object Reference 04 Cross Site Scripting (XSS) Cross Site Request Forgery (CSRF) 05 Buffer Overflows Information Leakage and Improper 06 Injection Flaws Error Handling Broken Authentication and Session 07 Improper Error Handling Management Insecure Cryptographic Storage 08 Insecure Cryptographic Storage Insecure Communications 09 Denial of Service Failure to restrict URL access 10 Insecure Configuration ManagementAlém do que está apresentado na tabela, existem várias outras vulnerabilidades que sãofacilmente exploradas por worms, crackers amadores e script kiddies. E as consequências podemir desde uma simples “derrubada” no web site da organização por algumas horas, até o acesso ea modificação de dados de clientes e/ou parceiros comerciais, como pode ocorrer em algunsambientes na exploração do Cross Site Scripting (XSS) ou do SQL Injection, que não figura noOWASP Top 10 mas é extremamente comum.1 90% of public websites are vulnerable to attack em http://www.net-security.org/secworld.php?id=5939.Porque a Segurança Técnica é a base da Gestão de Riscos Página 2
  • 3. Camargo Neves RMSO Fator HumanoQuando olhamos outra fonte confiável de informação sobre vulnerabilidades, podemos concluirque o problema é gerado não só pela falta de cuidado dos fabricantes em lançar produtos comconfigurações padronizadas que não são obrigatoriamente alteradas pelos seus clientes, emanter a odiosa prática de senhas padrão para quase tudo.Somado a isto tudo, temos os técnicos que não configuram de forma adequada os sistemaspelos quais são responsáveis, e os usuários desta infraestrutura que por diversos motivos falhamem seguir procedimentos de segurança, estejam estes estabelecidos ou não.Os dados apresentados no SANS Top-20 2007 Security Risks deixam claro que esta minhaafirmação está longe de ser uma conjectura. Web browsers vulneráveis a spoofing e scriptsmaliciosos, aplicações de escritório que oferecem muito mais que um usuário comum precisa esaem de fábrica carregadas de furos de programação, sistemas operacionais que precisam decorreções sucessivas. A lista é longa, e quase todos os items estão diretamente ligados à falta decuidado com a Segurança Técnica.Mas antes de apontar o dedo e culpar os fabricantes, técnico e usuários, é preciso entender acausa do problema e os motivos que levam estas listas a não se alterarem com o passar dosanos. Estamos trabalhando da forma certa, quando o assunto é manter o ambiente com umnível de risco aceitável?A resposta é não. Estamos fazendo o que é necessário para os negócios andarem, e isto nãonecessariamente significa que eles fiquem seguros. Quantos projetos de TI você conhece quelevaram a sério a etapa de avaliar a necessidade de controles, alocar recursos para que estessejam comprados/desenvolvidos/implementados, e um processo de auditoria independentepara revisar o produto final? Da minha parte, posso afirmar que de cada dez, talvez um pudesseser encaixado nesta categoria. E você?Buscando AlternativasA causa me parece muito clara, infelizmente ainda não existe na maioria das organizações oentendimento do que é segurança, e como ela pode ser atingida de forma estruturada. Existempressões para o sistema de vendas ficar pronto, para o billing atender as mudanças de preço,para o CRM incluir novos cadastros, mas e para que tudo isso funcione com estabilidade?Pressões para um plano de continuidade fazer parte do processo, para o código das aplicaçõesficar seguro contra ataques ou ainda para simplesmente treinar as pessoas a usarem os recursosde forma certa, existem? Manter o ambiente com um nível de segurança aceitável significaenvolver toda a organização no processo, incluir uma cultura “segura” na cabeça das pessoas,ter o apoio do corpo executivo. Isso é totalmente correto, mas é difícil de conseguirrapidamente não só pela resistência natural que existe, mas também pela falta de priorizaçãoque você vai encontrar e pela dificuldade de conseguir fundos para isto.Porém, o primeiro passo de garantir a presença de controles de segurança técnica, é maisrápido, mais simples e envolve muito menos gente. Se você trabalha em uma empresa depequeno ou médio porte, talvez a sua dedicação e um apoio mínimo da sua chefia sejamsuficiente para mudar as coisas. Existem empresas especializadas em segurança técnica, como aPorque a Segurança Técnica é a base da Gestão de Riscos Página 3
  • 4. Camargo Neves RMSminha, e existem ainda recursos na Internet que custam só o seu tempo de ler, entender eaplicar.OWASPO OWASP (Open Web Application Security Project) é uma iniciativa formidável que congregapessoas de todo o mundo em torno de um só trabalho: criar e disponibilizar práticas desegurança técnica que possam ser usadas para criar um ambiente mais seguro. As pessoas quetrabalham no OWASP não ganham nada além da satisfação de contribuir para a comunidade eaprender muito no processo. Lá você irá encontrar recursos que podem ajudar a: Aprender sobre vulnerabilidades, ameaças, ataques e principalmente, como evitar tudo isso no ambiente sob sua responsabilidade. Conhecer como funcionam e aprender a evitar as vulnerabilidades mais comuns no mundo web, que são listadas no OWASP Top 10 e foram traduzidas pelo Chapter Brazil para o português. Incluir etapas de segurança no processo de desenvolvimento de software, ou mesmo revisar o que já tem pronto para descobrir se melhorias neste escopo são necessárias. O CLASP (Comprehensive, Lightweight Application Security Process), o OWASP Guide 2.0 e o OWASP Web Security Certification Criteria são recursos grátis, de excelente qualidade e que estão disponíveis.SANSO SANS Institute é bastante conhecido pelas certificações técnicas que provê, porém nem todossabem que o site deles é um enorme repositório de conhecimento, onde existe desde materialde leitura acadêmica em segurança e guias para a criação de políticas de segurança, até formasde evitar as SANS Top 20.Um dos projetos que eles mantêm que mais gosto, é o Security Consensus OperationalReadiness Evaluation (SCORE). O SCORE tem como objetivo manter no site do SANS uma listade padrões e checklists voltados para a manutenção de níveis mínimos de segurança. Aindaengatinhando, tem somente um documento disponível e muito mais voltado ao mercado norte-americano, mas estão sendo desenvolvidos documentos para UNIX, handhelds e firewalls.Contribuir para esta iniciativa, é sem dúvida uma excelente forma de aprender e compartilhar oconhecimento com a comunidade.Porque a Segurança Técnica é a base da Gestão de Riscos Página 4
  • 5. Camargo Neves RMSConcluindoImpedir a ocorrência de problemas em Segurança da Informação é uma tarefa impossível, queninguém em sã consciência pode assumir de forma séria, porém, evitar que erros primáriosgerem vulnerabilidades na infraestrutura de TI é uma tarefa simples, que exige do corpo técnicosomente boa vontade e capacidade mínima para administrar os controles de forma adequada.Talvez na próxima vez que o seu gerente quiser falar sobre GRC, Identity Management, RiskManagement e outros processos avançados em Segurança da Informação, seja bom lembrar queo básico não pode ser esquecido e o corpo técnico tem um papel tão fundamental no suporteao processo de gestão como os demais. Seguir as recomendações para evitar a ocorrência dosproblemas listados no OWASP Top 10 e SANS Top 20 é uma questão de bom senso, ecertamente irá evitar muitos problemas que custarão bem mais para serem resolvidos.Sobre o AutorEduardo V. C. Neves, CISSP, trabalha com Segurança da Informação desde 1998. Iniciou suacarreira profissional em uma das principais empresas de consultoria do mercado brasileiro,posteriormente trabalhando como executivo de uma empresa Fortune 100 por quase 10 anos. Em2008 fundou uma das primeiras empresas nacionais especializada em Segurança de Aplicações ehoje se dedica a prestar serviços de consultoria nas práticas de Risk Management e BusinessContinuity. Serve ainda como voluntário no OWASP e (ISC)2 e contribui para iniciativas deevangelização nas práticas de proteção da informação para federações e associações no Brasil.Pode ser contatado pelo e-mail eduardo@camargoneves.com.Porque a Segurança Técnica é a base da Gestão de Riscos Página 5

Related Documents