Ethical Hacking - Apresentando os riscos da cyber security para executivos
Transcript of Ethical Hacking - Apresentando os riscos da cyber security para executivos
![Page 1: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/1.jpg)
![Page 2: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/2.jpg)
Bem-vindo ao Circuito de Palestras EXIN 2015 Conheça o novo Portfólio EXIN:
![Page 3: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/3.jpg)
NOSSO TEMA DE HOJE:
Ethical Hacking – Apresentando os riscos da cyber security para executivos
Descrição: O cybercrime é o delito com maior índice de crescimento. Mais e mais criminosos estão explorando a velocidade, comodidade e anonimato da internet para cometer uma gama diversificada de atividades criminosas que não conhecem fronteiras (físicas ou virtuais).
Atualmente o número da população em relação a utilização de dispositivos móveis cresce exponencialmente, tendo a previsão de que cada ser humano irá utilizar de até 6 dispositivos conectados durante o seu dia. Isto representa um maior número de pessoas estarão cada vez mais vulneráveis e necessitam serem treinadas e capacitadas em relação ao tema para que sejam evitados prejuízos bilionários nas organizações e até mesmo roubos de informações pessoais.
![Page 4: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/4.jpg)
NOSSO TEMA DE HOJE:
Ethical Hacking – Apresentando os riscos da cyber security para executivos
Palestrante: Ricardo Tavares
Mais de quinze anos de experiência em Tecnologia da Informação, ocupando cargos de gestão e coordenação em Governança e Segurança da Informação. Certificado como CISM (ISACA), CRISC (ISACA), CGEIT (ISACA), TOGAF CERTIFIED (TOG), GPEN E GIHC (SANS), ISMAS (EXIN). Foi responsável pela gestão e implementação de projetos de modelo de Governança, Planejamento Estratégico, Gerenciamento de Serviços, Escritório de Projetos, Prevenção à Fraude Corporativa e Segurança da Informação em empresas multinacionais e de grande porte tais como: Hewlett Packard, AT&T Latin América, TELMEX, Banco Bradesco entre outras empresas líderes no mercado nacional e internacional. É sócio-diretor da DARYUS Consultoria e DARYUS ITSM sendo líder de CyberSecurity e Arquitetura Corporativa.
![Page 5: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/5.jpg)
Ethical Hacking – Apresentando os riscos da cyber security para executivos
• Realização: DARYUS e EXIN
• Sobre a DARYUS
– Grupo líder na capacitação e consultoria em Gestão de Riscos, Segurança da Informação e Cibernética e Continuidade de Negócios, atendendo mais de três mil alunos em treinamento, mais de 22 turmas formadas nos cursos de pós-graduação de Segurança da Informação e Perícia Forense.
– 1º empresa a estruturar, iniciar e credenciar pós-graduações junto ao EXIN de Cyber Security e Gestão de Serviços de TI com base nas certificações reconhecidas internacionalmente.
![Page 6: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/6.jpg)
Ethical Hacking – Apresentando os riscos da cyber security para executivos
Cyber SecurityCenário Global
![Page 7: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/7.jpg)
Global Risk Landscape 2015 (World Economic Forum)
![Page 8: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/8.jpg)
Internet das Coisas (IoT)
![Page 9: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/9.jpg)
Internet das Coisas (IoT)
Cyber Crime As A ServiceAscenção dos serviços de
hacking
![Page 10: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/10.jpg)
Internet das Coisas (IoT)
54% dos 200 milhões de habitantes no País
possuem acesso à internet
Maturidade em Segurança
Cibernética é baixa
Segundo maior gerador de
cibercrimes no mundo
Primeira posição na América Latina e
Caribe (Fonte e Alvo)
Perde US$ 8 bilhões por ano com
fraudes digitais
95% das perdas dos bancos do Brasil vem
do cibercrime (fonte: FEBRABAN)
![Page 11: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/11.jpg)
Incidentes
Em Abril de 2014 foi estimado que 40.000 monitores
de bebês estavam
vulneráveis.
95% dos ATMs utilizam Windows XP.
Equipamentos médicos já são
invadidos
No primeiro semestre de 2014 foram
roubados 439 milhões de registros do
setor bancário
Em média30.000sites são
invadidos por dia
Mais da metade dos maiores
bancos do mundo já tiveram
incidentes de segurança em
seus sites web.
![Page 12: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/12.jpg)
Incidentes
Os custos de incidentes de
segurança aumentaram em
24%.
Empresas reportando
perdas de $10 milhões a $19.9
milhões aumentou em
24%.
Um único grupo hacker foi capaz
de roubar $1 bilhão de 30
bancos espalhados pelo
mundo.A violação
JPMorgan Chase & Co afetou cerca de 76
milhões de lares e 7 milhões de
pequenas empresas
Syrian Electronic Arm invadiu o site
das forças armadas
americana.
Target, invadida em 2013 pagará $10 milhões como dano
para os seus clientes.
![Page 13: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/13.jpg)
Vulnerabilidades humanas
1. 1234562. Password3. 123454. 123456785. Qwerty6. 1234567897. 12348. Baseball9. Dragon10.football
Piores senhas de 2014
![Page 14: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/14.jpg)
EthicalHacking
![Page 15: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/15.jpg)
O que é?
O objetivo do Ethical Hacking é modelar as ações de ameaças do mundo real para encontrar vulnerabilidades e de uma forma controlada explorar estas vulnerabilidades determinando o risco ao negócio e recomendando defesas apropriadas que podem ser integradas na operação da organização alvo.
![Page 16: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/16.jpg)
Diferença entre Ethical Hacking, Análise de Vulnerabilidade e Auditoria
Security Assessments (vulnerability assessments)
Focado somente em encontrar vulnerabilidades de segurança, as quais poderão ser usadas ou não para obter
ou roubar dados. Envolve o processo de olhar para falhas de segurança, mais
superficial. Normalmente inclui revisões de políticas e procedimentos, que normalmente não são incluídos no
penetration testing.
Security AuditsTestes sobre um rigoroso conjunto de
padrões (medir). Muitas vezes realizado com um checklist detalhado.
![Page 17: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/17.jpg)
Porque fazer o processo de Ethical Hacking
Encontrar vulnerabilidades
antes que os criminosos;
Medir a efetividade sobre o
que está implementado;
Ponto de decissão sobre a
necessidade de ações ou recursos
(decisores darão mais atenção);
Prova mais concreta do mundo real
![Page 18: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/18.jpg)
Tipos de Ethical Hacking
Network services test
Client-side test
Web application test
Remote dial-up war dial test
Wireless security test
Social engineering
test
Physical security test
Stolen equipament
test
Cryptanalysis attack
![Page 19: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/19.jpg)
Fases do processo de Ethical Hacking
PlanejamentoReconhecimentoScanning
Exploração Manter acessoCobrir os rastros
![Page 20: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/20.jpg)
Metodologias Utilizadas
Open Source Security Testing Methodology
Manual (OSSTMM)
Nist (National Institute of Standart and
Technology) Special Publication 800-115
NIST 800-53A
Open Web Application Security
Project (OWASP) Testing Guide
Penetration Testing
Framework
![Page 21: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/21.jpg)
Apresentando osResultados aos
Executivos
![Page 22: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/22.jpg)
O que uma apresentação executiva deve possuir
• Sumário;• Findings de Riscos altos e médios;• Conclusão.
![Page 23: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/23.jpg)
Sumário
• Visão geral (onde, quem, quando, como);
• Findings significantes com o risco e impacto resumido.
![Page 24: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/24.jpg)
Findings
• O que foi encontrado;• Risco;• Recomendação;• Ações que serão realizadas (se possível).
![Page 25: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/25.jpg)
Findings - Qual será o foco?
• Deve-se sempre demonstrar o risco para o negócio e não para a tecnologia;
• Priorizar os riscos de acordo com a importância do negócio;
• Abordagem baseada em processo de negócios.
![Page 26: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/26.jpg)
Findings - Entender o apetite de risco da organização
Impacto na marca
Prejuízos financeiros
Perder vantagem
competitiva
Segurança pessoal dos
colaboradores
Riscos legais
![Page 27: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/27.jpg)
Findings - Como o risco se concretizou?
Demonstratar de forma objetiva: • Como o risco se concretizou;• O nível de dificuldade para que se
concretize;• As contramedidas atuais (sempre é
bom valorizar o que já existe).
![Page 28: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/28.jpg)
Fidings - O que não deve ser feito
• Copiar e colar as informações/relatórios das ferramentas de análise de vulnerabilidade;
• Inclusão de itens ridículos, que não demonstram um risco real;
• Inclusão de intens com um risco muito baixo;
• Inserir os usuários e senhas capturados no documento que será apresentado.
![Page 29: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/29.jpg)
Conclusão
• Maturidade do ambiente comparado com empresas do mesmo seguimento;
• Quais serão os próximos passos (linha de tempo).
![Page 30: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/30.jpg)
Benefícios aos participantes
• Workshop Internacional de Ethical Hacking e Secure Programming com os fundadores da Security Academy;
• Descontos para pós-graduações de Cyber Security e Gestão de Serviços de TI e treinamentos livres relacionados;
• Desconto exclusivo de 80% para participação no maior evento de GRC – o Global Risk Meeting;
![Page 31: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/31.jpg)
ACESSO AO MATERIAL
• Vamos disponibilizar na próxima semana:– Link desta apresentação no YouTube e SlideShare. – Informativo sobre o Programa de Certificação – tema central da
Palestra– Certificado de Participação: se precisar deste documento,
envie sua solicitação para [email protected] com seu nome completo.
• Por favor, responda nossa PESQUISA DE SATISFAÇÃO (pop-up ao finalizar o programa webex) e deixe suas sugestões para ajudar a aprimorar nossas futuras ações.
No nosso canal do YouTube e Slide Share você tem acesso a todas as apresentações realizadas desde 2012, link será enviado por e-mail.
![Page 32: Ethical Hacking - Apresentando os riscos da cyber security para executivos](https://reader031.fdocumentos.tips/reader031/viewer/2022020116/55ceeed1bb61ebfa7f8b4726/html5/thumbnails/32.jpg)
Dúvidas?
Vamos iniciar a sessão de PERGUNTAS.
Utilize a ferramenta do chat (para digitar).
Mais Informações?
Milena AndradeRegional Manager
Ricardo TavaresSócio-Diretor