1. GESTO DE RISCOS com base no MONITORAMENTO DE AMEAASLeandro BennatonCNASI 2014

2. Leandro BennatonExecutivo de Segurana do Grupo Telefnica: Chief Security Officer responsvel Global porSegurana e Conformidade no TERRA Chief Security Ambassador na ELEVEN PATHS Security Mentor na WAYRA Professor Ps Graduao na FIAPPs graduado, com MBA em Gerenciamento deSegurana da Informao e certificaesinternacionais. Participa do Information SecurityForum e ativamente no Comit Gestor da Internet.Premiado em 2013 como o melhor executivo deSegurana pela organizao Security Leaders.@bennaton 3. AtuaoEquipe GLOBAL com sede em SP, responsvel por Argentina, Brasil, Chile,Colmbia, Estados Unidos, Espanha, Mxico e Peru 4. Atividades Requerimentos Legais Controle de Acesso Auditoria e Conformidade Segurana Fsica Gesto de Incidentes Fraudes Segurana Tecnolgica Politicas & Normas Conscientizao Proteo da Marca 5. Segurana corporativa 6. Como foi ...Forma tradicional para se cometer um Crime 7. ... e como !Nova forma para se cometer um Crime 8. ControlesControles so Necessrios 9. AmeaasPara manter o ambiente e os usurios seguros 10. Desafios 11. Transmisses ao Vivo 12. IPV6 13. Como se proteger? 14. O que fazer?For better security, think like a bad guy 15. Superfcie de AtaqueContas de E-mails (spammers)E-commerce (cartes de crditos)Base de Clientes (informaes cadastrais)Visibilidade e Abrangncia (volume de acesso)Hospedagem (fake pages) 16. Ambiente 268.000 endereos IPs vlidos(Internet) 101.000 endereos internos(backnet e ambiente corporativo) 280 aplicaes web (prprias e deparceiros de contedo) 3 datacenters/ 10 escritrios(Global) 17. Planejamento 18. Metodologia - InfraGreyBoxUtilizao de credenciais legitimas, visando a validao daspermisses de acesso e autorizao esto em conformidadecom as necessidades de negcio.FASESDiscovering Scanning Enumeration Gaining Access Destaque para as fases de Scanning e Enumeration; No geral, a fase de Gaining Access, realizada em aplicaes onde h anecessidade de comprovar o impacto de vulnerabilidades crticas. 19. Metodologia - Aplicao Testes realizados com base nos 66controles apresentados pelo OWASPTESTING GUIDE (v3.0): Information Gathering Configuration Management Testing Business Logic Testing Authentication Testing Authorization testing Session Management Testing Data Validation Testing Denial of Service Testing Web Services Testing Ajax Testing 20. Metodologia - Criticidade 21. Projeto Processo Projeto em fases(Externo, Interno e Aplicaes) Cronograma e Comunicao Reporte executivos cominformaes relevantes Plataforma Web, em real time 22. Projeto Processo 23. Projeto Processo 24. Melhoria Continua 25. Gesto de Riscos Transformar o tecniques emlinguagem de negcio Apoio do CEO, CTO, direo Maior envolvimento de reas deTecnologia Mtricas, Indicadores do PLR Mapa de Riscos Tecnolgicos(atualizao Trimestral/ reunio Semestral) 26. Gesto de Riscos 27. Gesto de Riscos +11.000 vulnerabilidades tratadas Melhor nvel de proteo No h defacement desde mar/12 Percepo dos executivos daimportncia de SI e Governana Aumento da maturidade e culturada Segurana da Informao 28. Por onde comear ? 29. OSINThttp://sinfonier-project.net 30. MonitoramentoDefacements 31. MonitoramentoMalware 32. MonitoramentoCSIRT - ABUSE 33. MonitoramentoBrand Protection 34. MonitoramentoBrand Protection 35. Estratgia 36. Capital IntelectualPessoas possueminformaes importantes 37. Para pensar ... 38. No esquea da Penny 39. Perguntas ??? 40. GESTO DE RISCOScom base noMONITORAMENTO DE AMEAASLeandro Bennaton@bennaton