SlideShare une entreprise Scribd logo

MASP: Um processo racional para garantir o nível de proteção das aplicações web em todas as fases do ciclo de desenvolvimento

Conviso Application Security
Conviso Application Security

O documento apresenta o Managed Application Security Process (MASP) da Conviso, um processo gerenciado para garantir a segurança de aplicações web em todas as fases do ciclo de desenvolvimento, realizando planejamento, testes, implementação de controles e melhoria contínua do processo de desenvolvimento.

TechnologieBusiness
1  sur  25
MASP | Managed Application Security Process Um processo racional para garantir o nível de proteção das aplicações web em todas as fases do ciclo de desenvolvimento Eduardo Neves | CEO Wagner Elias | CTO eneves@conviso.com.br welias@conviso.com.br 1
Sobre a Conviso Fundada em 2008 é uma empresa especializada em Application Security e Network Security com operações no Brasil e Estados Unidos Temos entre nossos clientes empresas de grande e médio porte em diversos segmentos, incluindo os líderes em seus setores Nossa equipe tem as principais certi cações do mercado, participa de eventos internacionais e publica artigos sobre IT Security Mantemos acordos de cooperação com a Check Point e Security Art para análise de vulnerabilidades e desenvolvimento de soluções especí cas Apoiamos e participamos do OWASP através de diversas iniciativas e projetos Conviso | Managed Application Security Process 2
Serviços e Produtos Web Application Firewall Web Application Scanning Database Security Vulnerability Management File Security PCI Compliance Security Planning Security Testing Security Deployment • Security Development Lifecycle • Penetration Test • Web Application Firewall • Application, Network and Architecture • Web Security Assessment • Database and File Security • Integration on the Infrastructure • Security Code Review • Vulnerability Management Conviso Labs Pesquisa de Vulnerabilidades Ferramentas de Suporte Treinamentos Técnicos Conviso | Managed Application Security Process 3
Managed Application Security Process Conviso | Managed Application Security Process 4
Racional As empresas tem focado em aspectos de GRC como vantagem competitiva ou necessidade de compliance porém os resultados da exploração de falhas continuam a aparecer com frequência Os aspectos técnicos são administrados como um mal necessário ou requerimento complementar Os negócios estão sendo posicionados na nuvem com uma abordagem tradicional de segurança A segurança das aplicações é fundamental para suportar de forma adequada os negócios on-line, porém não pode ser tratada como uma iniciativa isolada Conviso | Managed Application Security Process 5
A Abordagem Tradicional A execução de testes de segurança permite realizar ações corretivas pontuais, mas não suporta nenhuma uma evolução no desenvolvimento de aplicações seguras As causas das falhas não são endereçadas de forma adequada Aplicações Web com falhas são posicionadas em ambiente de produção devido as pressões das áreas de negócios Ferramentas de proteção exigem investimentos diretos e contratação de equipe especializada para administração dos recursos Conviso | Managed Application Security Process 6
Diferenciais do MASP É um serviço de suporte para o processo de desenvolvimento seguro de software indo desde a gestão de Build, Bug Tracking, Testes de Segurança, Virtual Patching e implementação de um processo de segurança em desenvolvimento As causas das falhas são identi cadas e utilizadas para suportar ações operacionais e estratégicas Aplicações Web com falhas podem ser temporariamente posicionadas de forma segura dentro deste ciclo de operação O cliente é continuamente capacitado e o nível de maturidade do processo é crescente Pode ser estruturado para atender a padrões como o PCI DSS e o HIPAA Conviso | Managed Application Security Process 7
Como o MASP funciona? Conviso | Managed Application Security Process 8
Como o MASP funciona? Planejamento Conviso | Managed Application Security Process 8
Como o MASP funciona? Testes Planejamento Conviso | Managed Application Security Process 8
Como o MASP funciona? Testes Aplicação Planejamento segura? Conviso | Managed Application Security Process 8
Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? Conviso | Managed Application Security Process 8
Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? não Novo release? Conviso | Managed Application Security Process 8
Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? não Novo release? sim Adequação Conviso | Managed Application Security Process 8
Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? não Novo release? sim Adequação Conviso | Managed Application Security Process 8
Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? não Novo não release? sim Adequação Conviso | Managed Application Security Process 8
Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? não Novo não release? sim Adequação Conviso | Managed Application Security Process 8
Como o MASP funciona? Testes Security Assessment Aplicação sim Planejamento Implementação segura? não WAF Novo não release? sim Adequação Conviso | Managed Application Security Process 8
Como o MASP funciona? Testes Security Assessment Aplicação sim Planejamento Implementação segura? não WAF Novo não release? sim Adequação Conviso | Managed Application Security Process 8
Como o MASP funciona? Testes Security Assessment Aplicação sim Planejamento Implementação segura? não WAF Novo não release? sim Adequação Conviso | Managed Application Security Process 8
Como o MASP funciona? Testes Security Assessment Aplicação sim Planejamento Implementação segura? não WAF Novo não release? sim Adequação Conviso | Managed Application Security Process 8
Como o MASP funciona? Processo de Gestão de Vulnerabilidades Testes Security Assessment Aplicação sim Planejamento Implementação segura? não WAF Novo não release? sim Adequação Conviso | Managed Application Security Process 8
Como o MASP funciona? O MASP permite realizar ações corretivas para adequar a proteção dos componentes e elevar imediatamente o nível de proteção do Ambiente Informatizado Os testes e avaliações resultam em sugestões de controles e recomendações de melhoria para o processo de desenvolvimento Falhas que não podem ser corrigidas são tratadas através de virtual patching pelo WAF A capacitação da equipe responsável, melhoria contínua do processo de desenvolvimento e a oferta de bibliotecas com códigos seguros são características presentes na solução Conviso | Managed Application Security Process 9
Conclusão Nossa equipe é formada por pro ssionais de IT Security com conhecimento de mercado, experiência em gestão e vivência dentro de empresas Sabemos utilizar essas competências a seu favor, avaliando suas necessidades de forma pragmática e apresentando soluções que façam sentido, funcionem e sejam claras para você e seus clientes Nosso web site: http://conviso.com.br Nosso canal no YouTube: http://www.youtube.com/ConvisoITSecurity Presença no Twitter: http://twitter.com/conviso Conviso | Managed Application Security Process 10
Curitiba | Miami | São Paulo Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR t. (41) 3095-3986 www.conviso.com.br 8671 NW 56th Street Doral, FL 33166 t. (786) 382-0167 www.convisosec.com Conviso IT Security | Apresentação Institucional 4Q 2010 11

Recommandé

Palestra
PalestraPalestra
Palestraguest95b6c3
 
QualysGuard Policy Manager
QualysGuard Policy ManagerQualysGuard Policy Manager
QualysGuard Policy ManagerSite Blindado S.A.
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa terTechBiz Forense Digital
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
[AREMAS] Cursos
[AREMAS] Cursos[AREMAS] Cursos
[AREMAS] CursosAREMAS Brasil
 

Recommandé

Palestra
PalestraPalestra
Palestraguest95b6c3
 
QualysGuard Policy Manager
QualysGuard Policy ManagerQualysGuard Policy Manager
QualysGuard Policy ManagerSite Blindado S.A.
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa terTechBiz Forense Digital
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
[AREMAS] Cursos
[AREMAS] Cursos[AREMAS] Cursos
[AREMAS] CursosAREMAS Brasil
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewCurso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewData Security
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...TI Safe
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
11SMTF050922T03
11SMTF050922T0311SMTF050922T03
11SMTF050922T03Christian Becker
 
Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swJunior Gomes
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - OverviewData Security
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)luisjosemachadosousa
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - OverviewData Security
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertaçãoMiky Mikusher Raymond
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar OliveiraTI Safe
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosCarlos Henrique Martins da Silva
 
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Robson Peixoto
 
Dss 3
Dss 3Dss 3
Dss 3Jean Carlos da Silva
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSeguraKeySupport Consultoria e Informática Ltda
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebKeySupport Consultoria e Informática Ltda
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 

Contenu connexe

Tendances

Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewCurso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewData Security
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...TI Safe
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
 
Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swJunior Gomes
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - OverviewData Security
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - OverviewData Security
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar OliveiraTI Safe
 
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Robson Peixoto
 

Tendances (19)

Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewCurso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - Overview
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento Seguro
 
11SMTF050922T03
11SMTF050922T0311SMTF050922T03
11SMTF050922T03
 
Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de sw
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - Overview
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de Software
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertação
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
 
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
 
Dss 3
Dss 3Dss 3
Dss 3
 

Similaire à MASP: Um processo racional para garantir o nível de proteção das aplicações web em todas as fases do ciclo de desenvolvimento

Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web72security
 
Gestão de Patches e Vulnerabilidades
Gestão de Patches e VulnerabilidadesGestão de Patches e Vulnerabilidades
Gestão de Patches e VulnerabilidadesMarcelo Martins
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
 
Gestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomGestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomAndracom Solutions
 
Processo de Implantação de ERP
Processo de Implantação de ERPProcesso de Implantação de ERP
Processo de Implantação de ERPLuiz Araujo
 
Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2
Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2
Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2Rafael Lima
 
Agile Scaling Model - TDC 2012 - São Paulo SP
Agile Scaling Model - TDC 2012 - São Paulo SPAgile Scaling Model - TDC 2012 - São Paulo SP
Agile Scaling Model - TDC 2012 - São Paulo SPNeubio Ferreira
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 
pensando em qualidade de software
pensando em qualidade de softwarepensando em qualidade de software
pensando em qualidade de softwaremarthahuback
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-StalkerEduardo Lanna
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Shield Consulting
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 

Similaire à MASP: Um processo racional para garantir o nível de proteção das aplicações web em todas as fases do ciclo de desenvolvimento (20)

(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web
 
Gestão de Patches e Vulnerabilidades
Gestão de Patches e VulnerabilidadesGestão de Patches e Vulnerabilidades
Gestão de Patches e Vulnerabilidades
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
 
Gestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomGestão da Governança de TI | Andracom
Gestão da Governança de TI | Andracom
 
Processo de Implantação de ERP
Processo de Implantação de ERPProcesso de Implantação de ERP
Processo de Implantação de ERP
 
Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2
Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2
Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2
 
Agile Scaling Model - TDC 2012 - São Paulo SP
Agile Scaling Model - TDC 2012 - São Paulo SPAgile Scaling Model - TDC 2012 - São Paulo SP
Agile Scaling Model - TDC 2012 - São Paulo SP
 
I-SCode
I-SCodeI-SCode
I-SCode
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
 
pensando em qualidade de software
pensando em qualidade de softwarepensando em qualidade de software
pensando em qualidade de software
 
(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Implementação de sgsi [impressão]
Implementação de sgsi [impressão]
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de Software
 
Aula 02
Aula 02Aula 02
Aula 02
 

Plus de Conviso Application Security

Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareConviso Application Security
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Conviso Application Security
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web HackingConviso Application Security
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebConviso Application Security
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashConviso Application Security
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Conviso Application Security
 

Plus de Conviso Application Security (20)

Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de software
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking
 
Building Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesBuilding Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 Features
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações Web
 
Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?
 
Pentest em Aplicações Móveis
Pentest em Aplicações MóveisPentest em Aplicações Móveis
Pentest em Aplicações Móveis
 
HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?
 
Threats from economical improvement rss 2010
Threats from economical improvement rss 2010Threats from economical improvement rss 2010
Threats from economical improvement rss 2010
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flash
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
 
Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
 
Abotoaduras & Bonés
Abotoaduras & BonésAbotoaduras & Bonés
Abotoaduras & Bonés
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
 
Extreme Web Hacking - h2hc 2008
Extreme Web Hacking - h2hc 2008Extreme Web Hacking - h2hc 2008
Extreme Web Hacking - h2hc 2008
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 

MASP: Um processo racional para garantir o nível de proteção das aplicações web em todas as fases do ciclo de desenvolvimento

  • 1. MASP | Managed Application Security Process Um processo racional para garantir o nível de proteção das aplicações web em todas as fases do ciclo de desenvolvimento Eduardo Neves | CEO Wagner Elias | CTO eneves@conviso.com.br welias@conviso.com.br 1
  • 2. Sobre a Conviso Fundada em 2008 é uma empresa especializada em Application Security e Network Security com operações no Brasil e Estados Unidos Temos entre nossos clientes empresas de grande e médio porte em diversos segmentos, incluindo os líderes em seus setores Nossa equipe tem as principais certi cações do mercado, participa de eventos internacionais e publica artigos sobre IT Security Mantemos acordos de cooperação com a Check Point e Security Art para análise de vulnerabilidades e desenvolvimento de soluções especí cas Apoiamos e participamos do OWASP através de diversas iniciativas e projetos Conviso | Managed Application Security Process 2
  • 3. Serviços e Produtos Web Application Firewall Web Application Scanning Database Security Vulnerability Management File Security PCI Compliance Security Planning Security Testing Security Deployment • Security Development Lifecycle • Penetration Test • Web Application Firewall • Application, Network and Architecture • Web Security Assessment • Database and File Security • Integration on the Infrastructure • Security Code Review • Vulnerability Management Conviso Labs Pesquisa de Vulnerabilidades Ferramentas de Suporte Treinamentos Técnicos Conviso | Managed Application Security Process 3
  • 4. Managed Application Security Process Conviso | Managed Application Security Process 4
  • 5. Racional As empresas tem focado em aspectos de GRC como vantagem competitiva ou necessidade de compliance porém os resultados da exploração de falhas continuam a aparecer com frequência Os aspectos técnicos são administrados como um mal necessário ou requerimento complementar Os negócios estão sendo posicionados na nuvem com uma abordagem tradicional de segurança A segurança das aplicações é fundamental para suportar de forma adequada os negócios on-line, porém não pode ser tratada como uma iniciativa isolada Conviso | Managed Application Security Process 5
  • 6. A Abordagem Tradicional A execução de testes de segurança permite realizar ações corretivas pontuais, mas não suporta nenhuma uma evolução no desenvolvimento de aplicações seguras As causas das falhas não são endereçadas de forma adequada Aplicações Web com falhas são posicionadas em ambiente de produção devido as pressões das áreas de negócios Ferramentas de proteção exigem investimentos diretos e contratação de equipe especializada para administração dos recursos Conviso | Managed Application Security Process 6
  • 7. Diferenciais do MASP É um serviço de suporte para o processo de desenvolvimento seguro de software indo desde a gestão de Build, Bug Tracking, Testes de Segurança, Virtual Patching e implementação de um processo de segurança em desenvolvimento As causas das falhas são identi cadas e utilizadas para suportar ações operacionais e estratégicas Aplicações Web com falhas podem ser temporariamente posicionadas de forma segura dentro deste ciclo de operação O cliente é continuamente capacitado e o nível de maturidade do processo é crescente Pode ser estruturado para atender a padrões como o PCI DSS e o HIPAA Conviso | Managed Application Security Process 7
  • 8. Como o MASP funciona? Conviso | Managed Application Security Process 8
  • 9. Como o MASP funciona? Planejamento Conviso | Managed Application Security Process 8
  • 10. Como o MASP funciona? Testes Planejamento Conviso | Managed Application Security Process 8
  • 11. Como o MASP funciona? Testes Aplicação Planejamento segura? Conviso | Managed Application Security Process 8
  • 12. Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? Conviso | Managed Application Security Process 8
  • 13. Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? não Novo release? Conviso | Managed Application Security Process 8
  • 14. Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? não Novo release? sim Adequação Conviso | Managed Application Security Process 8
  • 15. Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? não Novo release? sim Adequação Conviso | Managed Application Security Process 8
  • 16. Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? não Novo não release? sim Adequação Conviso | Managed Application Security Process 8
  • 17. Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? não Novo não release? sim Adequação Conviso | Managed Application Security Process 8
  • 18. Como o MASP funciona? Testes Security Assessment Aplicação sim Planejamento Implementação segura? não WAF Novo não release? sim Adequação Conviso | Managed Application Security Process 8
  • 19. Como o MASP funciona? Testes Security Assessment Aplicação sim Planejamento Implementação segura? não WAF Novo não release? sim Adequação Conviso | Managed Application Security Process 8
  • 20. Como o MASP funciona? Testes Security Assessment Aplicação sim Planejamento Implementação segura? não WAF Novo não release? sim Adequação Conviso | Managed Application Security Process 8
  • 21. Como o MASP funciona? Testes Security Assessment Aplicação sim Planejamento Implementação segura? não WAF Novo não release? sim Adequação Conviso | Managed Application Security Process 8
  • 22. Como o MASP funciona? Processo de Gestão de Vulnerabilidades Testes Security Assessment Aplicação sim Planejamento Implementação segura? não WAF Novo não release? sim Adequação Conviso | Managed Application Security Process 8
  • 23. Como o MASP funciona? O MASP permite realizar ações corretivas para adequar a proteção dos componentes e elevar imediatamente o nível de proteção do Ambiente Informatizado Os testes e avaliações resultam em sugestões de controles e recomendações de melhoria para o processo de desenvolvimento Falhas que não podem ser corrigidas são tratadas através de virtual patching pelo WAF A capacitação da equipe responsável, melhoria contínua do processo de desenvolvimento e a oferta de bibliotecas com códigos seguros são características presentes na solução Conviso | Managed Application Security Process 9
  • 24. Conclusão Nossa equipe é formada por pro ssionais de IT Security com conhecimento de mercado, experiência em gestão e vivência dentro de empresas Sabemos utilizar essas competências a seu favor, avaliando suas necessidades de forma pragmática e apresentando soluções que façam sentido, funcionem e sejam claras para você e seus clientes Nosso web site: http://conviso.com.br Nosso canal no YouTube: http://www.youtube.com/ConvisoITSecurity Presença no Twitter: http://twitter.com/conviso Conviso | Managed Application Security Process 10
  • 25. Curitiba | Miami | São Paulo Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR t. (41) 3095-3986 www.conviso.com.br 8671 NW 56th Street Doral, FL 33166 t. (786) 382-0167 www.convisosec.com Conviso IT Security | Apresentação Institucional 4Q 2010 11

Notes de l'éditeur

  1. \n
  2. \n
  3. \n
  4. \n
  5. \n
  6. \n
  7. \n
  8. \n
  9. \n
  10. \n
  11. \n
  12. \n
  13. \n
  14. \n
  15. \n
  16. \n
  17. \n
  18. \n
  19. \n
  20. \n
  21. \n
  22. \n
  23. \n
  24. \n
  25. \n
  26. \n
  27. \n
  28. \n
  29. \n
  30. \n
  31. \n
  32. \n
  33. \n