Bem-vindo ao Circuito de Palestras EXIN 2015 Conheça o novo Portfólio EXIN:

NOSSO TEMA DE HOJE:

Ethical Hacking – Apresentando os riscos da cyber security para executivos

Descrição: O cybercrime é o delito com maior índice de crescimento. Mais e mais criminosos estão explorando a velocidade, comodidade e anonimato da internet para cometer uma gama diversificada de atividades criminosas que não conhecem fronteiras (físicas ou virtuais).

Atualmente o número da população em relação a utilização de dispositivos móveis cresce exponencialmente, tendo a previsão de que cada ser humano irá utilizar de até 6 dispositivos conectados durante o seu dia. Isto representa um maior número de pessoas estarão cada vez mais vulneráveis e necessitam serem treinadas e capacitadas em relação ao tema para que sejam evitados prejuízos bilionários nas organizações e até mesmo roubos de informações pessoais.

NOSSO TEMA DE HOJE:

Ethical Hacking – Apresentando os riscos da cyber security para executivos

Palestrante: Ricardo Tavares

Mais de quinze anos de experiência em Tecnologia da Informação, ocupando cargos de gestão e coordenação em Governança e Segurança da Informação. Certificado como CISM (ISACA), CRISC (ISACA), CGEIT (ISACA), TOGAF CERTIFIED (TOG), GPEN E GIHC (SANS), ISMAS (EXIN). Foi responsável pela gestão e implementação de projetos de modelo de Governança, Planejamento Estratégico, Gerenciamento de Serviços, Escritório de Projetos, Prevenção à Fraude Corporativa e Segurança da Informação em empresas multinacionais e de grande porte tais como: Hewlett Packard, AT&T Latin América, TELMEX, Banco Bradesco entre outras empresas líderes no mercado nacional e internacional. É sócio-diretor da DARYUS Consultoria e DARYUS ITSM sendo líder de CyberSecurity e Arquitetura Corporativa.

Ethical Hacking – Apresentando os riscos da cyber security para executivos

• Realização: DARYUS e EXIN

• Sobre a DARYUS

– Grupo líder na capacitação e consultoria em Gestão de Riscos, Segurança da Informação e Cibernética e Continuidade de Negócios, atendendo mais de três mil alunos em treinamento, mais de 22 turmas formadas nos cursos de pós-graduação de Segurança da Informação e Perícia Forense.

– 1º empresa a estruturar, iniciar e credenciar pós-graduações junto ao EXIN de Cyber Security e Gestão de Serviços de TI com base nas certificações reconhecidas internacionalmente.

Ethical Hacking – Apresentando os riscos da cyber security para executivos

Cyber SecurityCenário Global

Global Risk Landscape 2015 (World Economic Forum)

Internet das Coisas (IoT)

Internet das Coisas (IoT)

Cyber Crime As A ServiceAscenção dos serviços de

hacking

Internet das Coisas (IoT)

54% dos 200 milhões de habitantes no País

possuem acesso à internet

Maturidade em Segurança

Cibernética é baixa

Segundo maior gerador de

cibercrimes no mundo

Primeira posição na América Latina e

Caribe (Fonte e Alvo)

Perde US$ 8 bilhões por ano com

fraudes digitais

95% das perdas dos bancos do Brasil vem

do cibercrime (fonte: FEBRABAN)

Incidentes

Em Abril de 2014 foi estimado que 40.000 monitores

de bebês estavam

vulneráveis.

95% dos ATMs utilizam Windows XP.

Equipamentos médicos já são

invadidos

No primeiro semestre de 2014 foram

roubados 439 milhões de registros do

setor bancário

Em média30.000sites são

invadidos por dia

Mais da metade dos maiores

bancos do mundo já tiveram

incidentes de segurança em

seus sites web.

Incidentes

Os custos de incidentes de

segurança aumentaram em

24%.

Empresas reportando

perdas de $10 milhões a $19.9

milhões aumentou em

24%.

Um único grupo hacker foi capaz

de roubar $1 bilhão de 30

bancos espalhados pelo

mundo.A violação

JPMorgan Chase & Co afetou cerca de 76

milhões de lares e 7 milhões de

pequenas empresas

Syrian Electronic Arm invadiu o site

das forças armadas

americana.

Target, invadida em 2013 pagará $10 milhões como dano

para os seus clientes.

Vulnerabilidades humanas

1. 1234562. Password3. 123454. 123456785. Qwerty6. 1234567897. 12348. Baseball9. Dragon10.football

Piores senhas de 2014

EthicalHacking

O que é?

O objetivo do Ethical Hacking é modelar as ações de ameaças do mundo real para encontrar vulnerabilidades e de uma forma controlada explorar estas vulnerabilidades determinando o risco ao negócio e recomendando defesas apropriadas que podem ser integradas na operação da organização alvo.

Diferença entre Ethical Hacking, Análise de Vulnerabilidade e Auditoria

Security Assessments (vulnerability assessments)

Focado somente em encontrar vulnerabilidades de segurança, as quais poderão ser usadas ou não para obter

ou roubar dados. Envolve o processo de olhar para falhas de segurança, mais

superficial. Normalmente inclui revisões de políticas e procedimentos, que normalmente não são incluídos no

penetration testing.

Security AuditsTestes sobre um rigoroso conjunto de

padrões (medir). Muitas vezes realizado com um checklist detalhado.

Porque fazer o processo de Ethical Hacking

Encontrar vulnerabilidades

antes que os criminosos;

Medir a efetividade sobre o

que está implementado;

Ponto de decissão sobre a

necessidade de ações ou recursos

(decisores darão mais atenção);

Prova mais concreta do mundo real

Tipos de Ethical Hacking

Network services test

Client-side test

Web application test

Remote dial-up war dial test

Wireless security test

Social engineering

test

Physical security test

Stolen equipament

test

Cryptanalysis attack

Fases do processo de Ethical Hacking

PlanejamentoReconhecimentoScanning

Exploração Manter acessoCobrir os rastros

Metodologias Utilizadas

Open Source Security Testing Methodology

Manual (OSSTMM)

Nist (National Institute of Standart and

Technology) Special Publication 800-115

NIST 800-53A

Open Web Application Security

Project (OWASP) Testing Guide

Penetration Testing

Framework

Apresentando osResultados aos

Executivos

O que uma apresentação executiva deve possuir

• Sumário;• Findings de Riscos altos e médios;• Conclusão.

Sumário

• Visão geral (onde, quem, quando, como);

• Findings significantes com o risco e impacto resumido.

Findings

• O que foi encontrado;• Risco;• Recomendação;• Ações que serão realizadas (se possível).

Findings - Qual será o foco?

• Deve-se sempre demonstrar o risco para o negócio e não para a tecnologia;

• Priorizar os riscos de acordo com a importância do negócio;

• Abordagem baseada em processo de negócios.

Findings - Entender o apetite de risco da organização

Impacto na marca

Prejuízos financeiros

Perder vantagem

competitiva

Segurança pessoal dos

colaboradores

Riscos legais

Findings - Como o risco se concretizou?

Demonstratar de forma objetiva: • Como o risco se concretizou;• O nível de dificuldade para que se

concretize;• As contramedidas atuais (sempre é

bom valorizar o que já existe).

Fidings - O que não deve ser feito

• Copiar e colar as informações/relatórios das ferramentas de análise de vulnerabilidade;

• Inclusão de itens ridículos, que não demonstram um risco real;

• Inclusão de intens com um risco muito baixo;

• Inserir os usuários e senhas capturados no documento que será apresentado.

Conclusão

• Maturidade do ambiente comparado com empresas do mesmo seguimento;

• Quais serão os próximos passos (linha de tempo).

Benefícios aos participantes

• Workshop Internacional de Ethical Hacking e Secure Programming com os fundadores da Security Academy;

• Descontos para pós-graduações de Cyber Security e Gestão de Serviços de TI e treinamentos livres relacionados;

• Desconto exclusivo de 80% para participação no maior evento de GRC – o Global Risk Meeting;

ACESSO AO MATERIAL

• Vamos disponibilizar na próxima semana:– Link desta apresentação no YouTube e SlideShare. – Informativo sobre o Programa de Certificação – tema central da

Palestra– Certificado de Participação: se precisar deste documento,

envie sua solicitação para supportBR@exin.com com seu nome completo.

• Por favor, responda nossa PESQUISA DE SATISFAÇÃO (pop-up ao finalizar o programa webex) e deixe suas sugestões para ajudar a aprimorar nossas futuras ações.

No nosso canal do YouTube e Slide Share você tem acesso a todas as apresentações realizadas desde 2012, link será enviado por e-mail.

Dúvidas?

Vamos iniciar a sessão de PERGUNTAS.

Utilize a ferramenta do chat (para digitar).

Mais Informações?

Milena AndradeRegional Manager

Milena.andrade@exin.comwww.exin.com

Ricardo TavaresSócio-Diretor

contato@daryus.com.brwww.daryus.com.br