SlideShare une entreprise Scribd logo

Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação

Clavis Segurança da Informação
Clavis Segurança da Informação

O documento discute a importância dos testes de invasão para avaliar a segurança de sistemas e alcançar a conformidade com padrões e normas. Testes de invasão simulam ataques reais e identificam falhas de segurança, ao contrário de auditorias tradicionais que se baseiam em amostras. Vários padrões como PCI DSS e HIPAA requerem a realização periódica de testes de invasão.

Technologie
1  sur  50
Télécharger pour lire hors ligne
Testes de Invasão Como ajudam a alcançar a conformidade
filipe@clavis.com.br @filipevillar filipevillar Diretor Comercial Diretor de Auditorias Segurança da Informação desde 2006 Responsável técnico em diversos projetos de GRC Responsável pelas atividades de auditoria interna Coordenador de Segurança da Informação na ANS GRC, auditoria de segurança e continuidade de negócios
segurança da informação não está relacionada à atividade fim nasce na área de TI não é bem vista não tem a força necessária em geral
eventos anteriores
eventos anteriores imposição de negócio
C Confidencialidade I Integridade D Disponibilidade A Autenticidade I Irretratabilidade
C Confidencialidade I D A I acesso somente às entidades legítimas
C I Integridade D A I a informação mantenha as características
C I D Disponibilidade A I esteja sempre disponível para o uso legítimo
C I D A Autenticidade I a informação é proveniente da fonte anunciada
C I D A I Irretratabilidade impossibilidade de negar a autoria
Objetivos dos Padrões Interoperabilidade Requisitos mínimos de segurança ineficiência, indisponibilidade, quebra de sigilo, fraude, danos à imagem
Objetivos dos PadrõesPadrões
ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis ISO31000 SOX CVMSUSEP ISO/IEC27005 BS25999 TISS Resoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP ISO/IEC27005 TISS Basiléia IIResoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis TISS SOX CVM SUSEP ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP
leis e normas resoluções e regulamentações boas práticas de mercado
leis e normas
133 itens de controle apresenta os requisitos de auditoria da família ISO27000 A.10.3.2 – Aceitação de sistemas A.12.5.2 - Análise crítica técnica das aplicações após mudanças no sistema operacional A.10.3 - Planejamento e aceitação dos sistemas A.10.5 - Segurança em processos de desenvolvimento e de suporte
Padrões Internacionais
Padrões Internacionais SOx PCI DSS CFR HIPAA
The Sarbanes-Oxley Act
The Sarbanes-Oxley Act Michael G. Oxley Republicano Paul SARBANES Democrata
The Sarbanes-Oxley Act Sec. 302 transfere para a alta administração a responsabilidade por garantir a confiabilidade, acurácia e completude das informações constantes em seus relatórios financeiros trata de controles internos e auditorias externas Sec. 404
PCI - DSS Indústria de Carões de Pagamento - Padrão de Segurança de Dados
Redação baseada na ISO27001 Composta por 12 requerimentos de controle Está em sua v.2
Realizar testes de penetração externos e internos pelo menos uma vez por ano e após qualquer upgrade ou modificação significativa na infraestrutura ou nos aplicativos (como um upgrade no sistema operacional, uma sub-rede adicionada ao ambiente ou um servidor da Web adicionado ao ambiente) Req.11.3
CFR - FDA Reduzir a quantidade de papel Aumentar a eficiência dos processos Reduzir os custos 21 Code of Federal Regulations (CFR) part 11 • Forma de armazenamento • Tempo de guarda de dados • Assinatura digital • Uso de criptografia Código Federal de Regulação
CFR - FDA 21 Code of Federal Regulations (CFR) part 11 When any change (even a small change) is made to the software, the validation status of the software needs to be re-established. Whenever software is changed, a validation analysis should be conducted not just for validation of the individual change, but also to determine the extent and impact of that change on the entire software system. 4.7. SOFTWARE VALIDATION AFTER A CHANGE http://www.fda.gov/RegulatoryInformation/Guidances/ucm126954.htm Código Federal de Regulação
HIPAA - Health Insurance Portability and Accountability Act Garantir a confidencialidade, integridade e disponibilidade de informações médicas protegidas eletronicamente que ele cria, recebe, mantém ou transmite; Proteja-se contra quaisquer ameaças razoavelmente esperadas e os riscos para a segurança ou a integridade de informações médicas protegidas eletronicamente e Proteja-se contra os usos razoavelmente previstos ou divulgação de tais informações que não sejam permitidos pela Regra de Privacidade. Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
HIPAA - Health Insurance Portability and Accountability Act Provedores de serviços de dados Sistema de medicamentos com desconto (farmácia legal) Planos de saúde Profissionais de atendimento de saúde informação Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
HIPAA - Health Insurance Portability and Accountability Act dados cadastrais prontuários históricos médicos diagnósticos resultados de exames outros.... Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
HIPAA - Health Insurance Portability and Accountability Act Lei de Portabilidade de Seguro de Saúde e de Responsabilidade NIST SP 800-66
HIPAA - Health Insurance Portability and Accountability Act Lei de Portabilidade de Seguro de Saúde e de Responsabilidade Sec. 164.308(a)(8) Conduct Evaluations Collect and document all needed information. Collection methods may include the use of interviews, surveys, and outputs of automated tools, such as access control auditing tools, system logs, and results of penetration testing Conduct penetration testing (where trusted insiders attempt to compromise system security for the sole purpose of testing the effectiveness of security controls), if reasonable and appropriate.
cenário brasileiro
RESOLUÇÃO CFM Nº 1.821, DE 11 DE JULHO DE 2007 requisitos de um programa de certificação para sistemas de registro eletrônico em saúde. Controle de sessão de usuário Autorização e controle de acesso Comunicação remota Segurança de Dados Auditoria
RESOLUÇÃO CFM Nº 1.821, DE 11 DE JULHO DE 2007 Troca de Informação de Saúde Suplementar – TISS resoluções a respeito de prontuário do paciente validade aos documentos eletrônicos no País cadastros nacionais em Saúde padrão TISS para troca de informações
premissas políticas especificações técnicas
Foco na interoperabilidade Considera aspectos de segurança Ênfase em protocolos e algoritmos (pouca visão sistêmica) Não obrigatório para todos, exceto APF
BACEN BMFBOVESPA Programa de Qualificação Operacional Qualidade de serviços oferecidos por operadoras Requisitos “grosseiros” de segurança Portaria 3380 Segurança operacional
Qual estratégia adotar?
implementar processos implementar controles auditar
a auditoria tradicional não garante que todos os procedimentos sejam sempre seguidos
...testes de invasão operam com a "fotografia" completa dos sistemas Auditorias são baseadas em amostras...
Teste de Invasão Ponto de vista do atacante real Medida concreta de segurança Foco nos aspectos técnicos/tecnológicos Diagnóstico de “momento” Metodologia mais flexível/adaptável
Teste de Invasão Testes de invasão são obrigatórios em alguns casos E os atuais padrões de segurança PCI DSS, req. 11.3 Realizar testes de penetração externos e internos pelo menos uma vez por ano e após qualquer upgrade ou modificação significativa na infraestrutura ou nos aplicativos (como um upgrade no sistema operacional, uma sub-rede adicionada ao ambiente ou um servidor da Web adicionado ao ambiente)
Teste de Invasão Testes de invasão são obrigatórios em alguns casos E os atuais padrões de segurança PCI DSS, req. 11.3 Testes de invasão são frequentemente citados HIPAA Security Rule Perform a periodic technical and nontechnical evaluation, based initially upon the standards implemented under this rule and subsequently, in response to environmental or operational changes affecting the security of electronic protected health information, which establishes the extent to which an entity’s security policies and procedures meet the requirements of this subpart
Teste de Invasão Testes de invasão são obrigatórios em alguns casos E os atuais padrões de segurança PCI DSS, req. 11.3 Testes de invasão são frequentemente citados HIPAA Security Rule Teste de invasão estão, quase sempre, evidenciando que um processo não foi seguido ou um requisito não foi atendido.
Leis, normas, padrões e resoluções requisitos mínimos senso comum direcionamento mensurados acompanhados verificados controles
Obrigado! HTTP://CLAV.IS/SLIDESHARE HTTP://CLAV.IS/TWITTER HTTP://CLAV.IS/FACEBOOK HTTP://CLAV.IS/YOUTUBE

Recommandé

Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSignClavis Segurança da Informação
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 

Recommandé

Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSignClavis Segurança da Informação
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Clavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas PráticasWSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas PráticasWSO2
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - OctopusClavis Segurança da Informação
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeSymantec Brasil
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Symantec Brasil
 
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Symantec Brasil
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoTI Safe
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)TI Safe
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertaçãoMiky Mikusher Raymond
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 
Apresentação - basileia III
Apresentação - basileia IIIApresentação - basileia III
Apresentação - basileia IIItadeuferreirajr
 
Registros no windows 7
Registros no windows 7Registros no windows 7
Registros no windows 7Daniel Brandão
 

Contenu connexe

Tendances

Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas PráticasWSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas PráticasWSO2
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeSymantec Brasil
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Symantec Brasil
 
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Symantec Brasil
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoTI Safe
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)TI Safe
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 

Tendances (20)

Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
 
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas PráticasWSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - Octopus
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!
 
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo Branquinho
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertação
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
 

En vedette

Apresentação - basileia III
Apresentação - basileia IIIApresentação - basileia III
Apresentação - basileia IIItadeuferreirajr
 
Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015C H
 

En vedette (6)

Apresentação - basileia III
Apresentação - basileia IIIApresentação - basileia III
Apresentação - basileia III
 
Registros no windows 7
Registros no windows 7Registros no windows 7
Registros no windows 7
 
Back track
Back trackBack track
Back track
 
Metodos de invasao
Metodos de invasaoMetodos de invasao
Metodos de invasao
 
Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015
 
Slides prontos
Slides prontosSlides prontos
Slides prontos
 

Similaire à Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação

ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicatorsEduardo Poggi
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da InformaçãoAllan Piter Pressi
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarArthur Tofolo Washington
 
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado GuimarãesRio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado GuimarãesRio Info
 
Praticas de uso da internet dentro de empresas
Praticas de uso da internet dentro de empresas Praticas de uso da internet dentro de empresas
Praticas de uso da internet dentro de empresas Jorge Quintao
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoTI Infnet
 
Práticas de uso da internet dentro das empresas
Práticas de uso da internet dentro das empresasPráticas de uso da internet dentro das empresas
Práticas de uso da internet dentro das empresasJorge Quintao
 
1 introducao auditoria
1 introducao auditoria1 introducao auditoria
1 introducao auditoriaBoechat79
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosSymantec Brasil
 
Apresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasApresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasTI Safe
 

Similaire à Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação (20)

ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
Auditoria Remota_2022 - Editado.pptx
Auditoria Remota_2022 - Editado.pptxAuditoria Remota_2022 - Editado.pptx
Auditoria Remota_2022 - Editado.pptx
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da Informação
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado GuimarãesRio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães
 
Praticas de uso da internet dentro de empresas
Praticas de uso da internet dentro de empresas Praticas de uso da internet dentro de empresas
Praticas de uso da internet dentro de empresas
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Práticas de uso da internet dentro das empresas
Práticas de uso da internet dentro das empresasPráticas de uso da internet dentro das empresas
Práticas de uso da internet dentro das empresas
 
1 introducao auditoria
1 introducao auditoria1 introducao auditoria
1 introducao auditoria
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dados
 
QualysGuard Policy Manager
QualysGuard Policy ManagerQualysGuard Policy Manager
QualysGuard Policy Manager
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
 
Apresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasApresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA Campinas
 

Plus de Clavis Segurança da Informação

Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroClavis Segurança da Informação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaClavis Segurança da Informação
 
Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalClavis Segurança da Informação
 
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Clavis Segurança da Informação
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Clavis Segurança da Informação
 
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...Clavis Segurança da Informação
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 

Plus de Clavis Segurança da Informação (15)

Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptx
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo Montoro
 
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - Apresentação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
 
Webinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de CibercrimesWebinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de Cibercrimes
 
Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense Computacional
 
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem Fio
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
 
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 

Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação

  • 1. Testes de Invasão Como ajudam a alcançar a conformidade
  • 2. filipe@clavis.com.br @filipevillar filipevillar Diretor Comercial Diretor de Auditorias Segurança da Informação desde 2006 Responsável técnico em diversos projetos de GRC Responsável pelas atividades de auditoria interna Coordenador de Segurança da Informação na ANS GRC, auditoria de segurança e continuidade de negócios
  • 3. segurança da informação não está relacionada à atividade fim nasce na área de TI não é bem vista não tem a força necessária em geral
  • 5.
  • 7.
  • 8. C Confidencialidade I Integridade D Disponibilidade A Autenticidade I Irretratabilidade
  • 10. C I Integridade D A I a informação mantenha as características
  • 11. C I D Disponibilidade A I esteja sempre disponível para o uso legítimo
  • 12. C I D A Autenticidade I a informação é proveniente da fonte anunciada
  • 14. Objetivos dos Padrões Interoperabilidade Requisitos mínimos de segurança ineficiência, indisponibilidade, quebra de sigilo, fraude, danos à imagem
  • 16. ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis ISO31000 SOX CVMSUSEP ISO/IEC27005 BS25999 TISS Resoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP ISO/IEC27005 TISS Basiléia IIResoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis TISS SOX CVM SUSEP ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP
  • 17. leis e normas resoluções e regulamentações boas práticas de mercado
  • 19. 133 itens de controle apresenta os requisitos de auditoria da família ISO27000 A.10.3.2 – Aceitação de sistemas A.12.5.2 - Análise crítica técnica das aplicações após mudanças no sistema operacional A.10.3 - Planejamento e aceitação dos sistemas A.10.5 - Segurança em processos de desenvolvimento e de suporte
  • 23. The Sarbanes-Oxley Act Michael G. Oxley Republicano Paul SARBANES Democrata
  • 24. The Sarbanes-Oxley Act Sec. 302 transfere para a alta administração a responsabilidade por garantir a confiabilidade, acurácia e completude das informações constantes em seus relatórios financeiros trata de controles internos e auditorias externas Sec. 404
  • 25. PCI - DSS Indústria de Carões de Pagamento - Padrão de Segurança de Dados
  • 26. Redação baseada na ISO27001 Composta por 12 requerimentos de controle Está em sua v.2
  • 27. Realizar testes de penetração externos e internos pelo menos uma vez por ano e após qualquer upgrade ou modificação significativa na infraestrutura ou nos aplicativos (como um upgrade no sistema operacional, uma sub-rede adicionada ao ambiente ou um servidor da Web adicionado ao ambiente) Req.11.3
  • 28. CFR - FDA Reduzir a quantidade de papel Aumentar a eficiência dos processos Reduzir os custos 21 Code of Federal Regulations (CFR) part 11 • Forma de armazenamento • Tempo de guarda de dados • Assinatura digital • Uso de criptografia Código Federal de Regulação
  • 29. CFR - FDA 21 Code of Federal Regulations (CFR) part 11 When any change (even a small change) is made to the software, the validation status of the software needs to be re-established. Whenever software is changed, a validation analysis should be conducted not just for validation of the individual change, but also to determine the extent and impact of that change on the entire software system. 4.7. SOFTWARE VALIDATION AFTER A CHANGE http://www.fda.gov/RegulatoryInformation/Guidances/ucm126954.htm Código Federal de Regulação
  • 30. HIPAA - Health Insurance Portability and Accountability Act Garantir a confidencialidade, integridade e disponibilidade de informações médicas protegidas eletronicamente que ele cria, recebe, mantém ou transmite; Proteja-se contra quaisquer ameaças razoavelmente esperadas e os riscos para a segurança ou a integridade de informações médicas protegidas eletronicamente e Proteja-se contra os usos razoavelmente previstos ou divulgação de tais informações que não sejam permitidos pela Regra de Privacidade. Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
  • 31. HIPAA - Health Insurance Portability and Accountability Act Provedores de serviços de dados Sistema de medicamentos com desconto (farmácia legal) Planos de saúde Profissionais de atendimento de saúde informação Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
  • 32. HIPAA - Health Insurance Portability and Accountability Act dados cadastrais prontuários históricos médicos diagnósticos resultados de exames outros.... Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
  • 33. HIPAA - Health Insurance Portability and Accountability Act Lei de Portabilidade de Seguro de Saúde e de Responsabilidade NIST SP 800-66
  • 34. HIPAA - Health Insurance Portability and Accountability Act Lei de Portabilidade de Seguro de Saúde e de Responsabilidade Sec. 164.308(a)(8) Conduct Evaluations Collect and document all needed information. Collection methods may include the use of interviews, surveys, and outputs of automated tools, such as access control auditing tools, system logs, and results of penetration testing Conduct penetration testing (where trusted insiders attempt to compromise system security for the sole purpose of testing the effectiveness of security controls), if reasonable and appropriate.
  • 36. RESOLUÇÃO CFM Nº 1.821, DE 11 DE JULHO DE 2007 requisitos de um programa de certificação para sistemas de registro eletrônico em saúde. Controle de sessão de usuário Autorização e controle de acesso Comunicação remota Segurança de Dados Auditoria
  • 37. RESOLUÇÃO CFM Nº 1.821, DE 11 DE JULHO DE 2007 Troca de Informação de Saúde Suplementar – TISS resoluções a respeito de prontuário do paciente validade aos documentos eletrônicos no País cadastros nacionais em Saúde padrão TISS para troca de informações
  • 39. Foco na interoperabilidade Considera aspectos de segurança Ênfase em protocolos e algoritmos (pouca visão sistêmica) Não obrigatório para todos, exceto APF
  • 40. BACEN BMFBOVESPA Programa de Qualificação Operacional Qualidade de serviços oferecidos por operadoras Requisitos “grosseiros” de segurança Portaria 3380 Segurança operacional
  • 43. a auditoria tradicional não garante que todos os procedimentos sejam sempre seguidos
  • 44. ...testes de invasão operam com a "fotografia" completa dos sistemas Auditorias são baseadas em amostras...
  • 45. Teste de Invasão Ponto de vista do atacante real Medida concreta de segurança Foco nos aspectos técnicos/tecnológicos Diagnóstico de “momento” Metodologia mais flexível/adaptável
  • 46. Teste de Invasão Testes de invasão são obrigatórios em alguns casos E os atuais padrões de segurança PCI DSS, req. 11.3 Realizar testes de penetração externos e internos pelo menos uma vez por ano e após qualquer upgrade ou modificação significativa na infraestrutura ou nos aplicativos (como um upgrade no sistema operacional, uma sub-rede adicionada ao ambiente ou um servidor da Web adicionado ao ambiente)
  • 47. Teste de Invasão Testes de invasão são obrigatórios em alguns casos E os atuais padrões de segurança PCI DSS, req. 11.3 Testes de invasão são frequentemente citados HIPAA Security Rule Perform a periodic technical and nontechnical evaluation, based initially upon the standards implemented under this rule and subsequently, in response to environmental or operational changes affecting the security of electronic protected health information, which establishes the extent to which an entity’s security policies and procedures meet the requirements of this subpart
  • 48. Teste de Invasão Testes de invasão são obrigatórios em alguns casos E os atuais padrões de segurança PCI DSS, req. 11.3 Testes de invasão são frequentemente citados HIPAA Security Rule Teste de invasão estão, quase sempre, evidenciando que um processo não foi seguido ou um requisito não foi atendido.
  • 49. Leis, normas, padrões e resoluções requisitos mínimos senso comum direcionamento mensurados acompanhados verificados controles