Estruturação de uma área de segurança da informação para que de forma centralizada adote o modelo de Security Officer. Apresentado como a empresa lida com as novas oportunidades de negócio e as ameaças e desafios para Segurança, de um ponto de vista multidisciplinar, como por exemplo: Legais – Privacidade vs Cyber Crime para atendimento as autoridades públicas, Marca – proteção da marca e desativação de phishing, Tecnológicas – análises de vulnerabilidade em um ambiente complexo e de alta disponibilidade, Gerenciamento-monitoração e segurança de rede, em especial aos desafios do IPv6 e atuação do CSIRTs na resposta a incidentes e ataques DDoS, Conscientização – trabalho junto aos recursos humanos visando para garantir que as boas práticas de segurança da informação estejam presentes na cultura da empresa. O objetivo é compartilhar as experiências práticas e desafios vivenciados na condução, estruturação e desenvolvimento de um Security Officer em uma das maiores empresa do segmento de Mídia Digital & Comunicação do mundo.
Citation preview
1. Riscos Tecnolgicos e Monitoramento de AmeaasLeandro
Bennaton21 e 22 de Agosto de 2014So Paulo BrasilHotel
Pestana@bennaton
2. Leandro BennatonExecutivo de Segurana do Grupo Telefnica:
Chief Security Officer responsvel Global porSegurana e Conformidade
no TERRA Chief Security Ambassador na ELEVEN PATHS Security Mentor
na WAYRA Professor Ps-graduao na FIAPPs graduado, com MBA em
Gerenciamento deSegurana da Informao e certificaesinternacionais.
Participa ativamente no ComitGestor da Internet, CGI.Premiado em
2013 como o melhor executivo deSegurana pela organizao Security
Leaders.@bennaton 3. AtuaoEquipe GLOBAL com sede em SP, responsvel
por Argentina, Brasil, Chile,Colmbia, Estados Unidos, Espanha,
Mxico e Peru 4. Atividades Requerimentos Legais Controle de Acesso
Auditoria e Conformidade Segurana Fsica Gesto de Incidentes Fraudes
Segurana Tecnolgica Politicas & Normas Conscientizao Proteo da
Marca 5. Segurana corporativa 6. Como foi ...Forma tradicional para
se cometer um Crime 7. ... e como !Nova forma para se cometer um
Crime 8. ControlesControles so Necessrios 9. AmeaasPara manter o
ambiente e os usurios seguros 10. Desafios 11. Transmisses ao Vivo
12. IPV6 13. Como se proteger? 14. O que fazer?For better security,
think like a bad guy 15. Superfcie de AtaqueContas de E-mails
(spammers)E-commerce (cartes de crditos)Base de Clientes (informaes
cadastrais)Visibilidade e Abrangncia (volume de acesso)Hospedagem
(fake pages) 16. Ambiente 268.000 endereos IPs vlidos(Internet)
101.000 endereos internos(backnet e ambiente corporativo) 280
aplicaes web (prprias e deparceiros de contedo) 3 datacenters/ 10
escritrios(Global) 17. Planejamento 18. Metodologia -
InfraGreyBoxUtilizao de credenciais legitimas, visando a validao
daspermisses de acesso e autorizao esto em conformidadecom as
necessidades de negcio.FASESDiscovering Scanning Enumeration
Gaining Access Destaque para as fases de Scanning e Enumeration; No
geral, a fase de Gaining Access, realizada em aplicaes onde h
anecessidade de comprovar o impacto de vulnerabilidades crticas.
19. Metodologia - Aplicao Testes realizados com base nos
66controles apresentados pelo OWASPTESTING GUIDE (v3.0):
Information Gathering Configuration Management Testing Business
Logic Testing Authentication Testing Authorization testing Session
Management Testing Data Validation Testing Denial of Service
Testing Web Services Testing Ajax Testing 20. Metodologia -
Criticidade 21. Projeto Processo Projeto em fases(Externo, Interno
e Aplicaes) Cronograma e Comunicao Reporte executivos cominformaes
relevantes Plataforma Web, em real time 22. Projeto Processo 23.
Projeto Processo 24. Melhoria Continua 25. Gesto de Riscos
Transformar o tecniques emlinguagem de negcio Apoio do CEO, CTO,
direo Maior envolvimento de reas deTecnologia Mtricas, Indicadores
do PLR Mapa de Riscos Tecnolgicos(atualizao Trimestral/ reunio
Semestral) 26. Gesto de Riscos 27. Gesto de Riscos +11.000
vulnerabilidades tratadas Melhor nvel de proteo No h defacement
desde mar/12 Percepo dos executivos daimportncia de SI e Governana
Aumento da maturidade e culturada Segurana da Informao 28. Por onde
comear ? 29. OSINThttp://sinfonier-project.net 30.
MonitoramentoDefacements 31. MonitoramentoMalware 32.
MonitoramentoCSIRT - ABUSE 33. MonitoramentoBrand Protection 34.
MonitoramentoBrand Protection 35. Estratgia 36. Capital
IntelectualPessoas possueminformaes importantes 37. Para pensar ...
38. No esquea da Penny 39. Perguntas ??? 40. Riscos Tecnolgicos e
Monitoramento de AmeaasLeandro Bennaton21 e 22 de Agosto de 2014So
Paulo BrasilHotel Pestana@bennaton
