Upload
workshop-blog-seginfo
View
946
Download
0
Embed Size (px)
Citation preview
Copyright 2007 © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
Segurança na Web: Uma janela de oportunidades
Lucas C. FerreiraCâmara dos Deputados
OWASP GCC MemberLíder do Capítulo de Brasí[email protected]
Monday, August 8, 11
OWASP 2
Agenda
OWASP - apresentação
O manifesto e seus objetivos
O que pode ser feito?Por legisladoresPor órgãos de defesa do consumidorPor órgãos de controlePor instituto de ensino e pesquisaPor todas os órgãos de governo
Monday, August 8, 11
OWASP
OWASP
Open Web Application Security ProjectComunidade abertaSegurança de aplicaçõesVoluntários8 capítulos no Brasil
Materiais disponíveisSistemasDocumentosApresentações
Conferências AppSec 3
Monday, August 8, 11
OWASP 4
O Manifesto e seus Objetivos
O manifestoBaseado em conversas e idéias de vários especialistas
ObjetivosSugerir ações de governo para melhorar a segurança na webUsar o poder de compra do estado para influir positivamenteProteger os consumidoresPermitir a inovação e a criação de negócios na área
Monday, August 8, 11
OWASP
O que pode ser feito?
Por legisladoresPermitir e incentivar pesquisas sobre ataques cibernéticos
Punir criminosos sem criminalizar atividades legítimas e benéficasFocar na intenção
Requerer a publicação de avaliações de segurançaPermitir amplo acesso a informações sobre vulnerabilidades
Criar agência para tratar os aspectos de divulgação de falhas de segurança
garantir uma postura ética e responsável de todas as partes
Exigir requisitos de segurança em contratos governamentais
5
Monday, August 8, 11
OWASP
O que pode ser feito?
Por legisladoresResponsabilizar organizações que não tratem com diligência os aspectos de segurança de aplicações
Organizações são responsáveis por sistemas que vendem e usamFornecedores co-responsáveis nos moldes do CDC
Exigir que o governo tenha acesso às atualizações de segurança durante toda a vida útil do software
Aplicar patches é o mínimo em termos de segurança
Exigir a abertura do código após o termino da vida útilSoftwares usados pelo governoApenas para o desenvolvimento de patchesEliminar necessidade de compra de novas versões
6
Monday, August 8, 11
OWASP
O que pode ser feito?
Por legisladoresEliminar as licenças de software que isentam os fabricantes da responsabilidade com a segurança de seus produtos
Responsabilidade igual aos fabricantes de qualquer produto (CDC)Limitada ao valor pago
7
Monday, August 8, 11
OWASP
O que pode ser feito?
Por órgãos de defesa do consumidorRestringir o uso de licenças de abusivasExigir a divulgação de informações inteligíveis
Nos moldes dos eletro-eletrônicos, carros, etcAtendimento ao art. 31 do CDCNecessidade de pesquisas na área
Exigir nível adequado de segurança de sistemas que afetem a privacidade dos consumidores ou cidadãos
Proteger os dadosAvisar em caso de vazamento
8
Monday, August 8, 11
OWASP
O que pode ser feito?
Por órgãos de defesa do consumidorDefinir que os consumidores devem ser informados dos possíveis usos dos dados inseridos em sistemas ou sites
Consumidor deve aprovar os usos previstosComunicar alterações de políticas
Estabelecer campanhas de conscientização de segurança para os consumidores
9
Monday, August 8, 11
OWASP
O que pode ser feito?
Por órgãos de controleDefinir claramente as responsabilidades com relação à segurança de aplicaçõesVerificar e auditar que práticas adequadas de segurança são adotadasInserir os aspectos de segurança de aplicações em seus regulamentos e/ou recomendações setoriaisFacilitar a criação de um mercado de seguros
Tendência a aumentar a segurança para diminuir os custos com seguros
Requerer o uso de conexões criptografadas (SSL) para aplicações web
10
Monday, August 8, 11
OWASP
O que pode ser feito?
Por órgãos de ensino e pesquisaInclusão das boas práticas de segurança de aplicações no conteúdo dos cursos
Em todos os níveis de ensino
Definição de cursos avançados para formação de mão-de-obraFomentar e financiar pesquisas sobre segurança de aplicações
Em universidades e empresas
Promover a formação de profissionais capazes de atuar com ética e responsabilidade
11
Monday, August 8, 11
OWASP
O que pode ser feito?
Por todos os órgãos públicosFinanciar validações e segurança para sistemas de código aberto
Produzir avaliações e correções de segurança para a sociedade
Promover o uso de tecnologias e metodologias de segurança de aplicações
Internamente e por fornecedores
Promover e permitir testes de segurança de forma responsável mas aberta
Permitir acesso aos pesquisadores éticosProcedimentos definidos
Promover treinamento e conscientização dos gestores para os desafios da segurança na web
12
Monday, August 8, 11
OWASP
Vantagens para o país
Área em crescimento em todo o mundoDesenvolvimento tecnológicoDesenvolvimento de mão-de-obra altamente capacitadaCrescimento de áreas afins
e-commercee-gov
Atração de investimentosCriação de negócios e empresas
13
Monday, August 8, 11
OWASP 14
AppSec Latam 2011
4 a 7 de outubro de 2011
www.appseclatam.org
@AppSecLatam
Monday, August 8, 11
Copyright 2007 © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
Segurança na Web: Uma janela de oportunidades
Lucas C. FerreiraCâmara dos Deputados
OWASP GCC MemberLíder do Capítulo de Brasí[email protected]
Monday, August 8, 11