Copyright:
Attribution Non-commercial
Quando falamos sobre Segurança da Informação com a vasta maioria dos profissionais brasileiros, é comum escutarmos palavras como aderência, termos ...
(More)
Quando falamos sobre Segurança da Informação com a vasta maioria dos profissionais brasileiros, é comum escutarmos palavras como aderência, termos como risk management e acrônimos como GRC. Longe de ser um problema, esta é uma característica comum das pessoas que procuram crescer na carreira e vêem em cargos gerenciais o topo de seu desenvolvimento profissional. Porém, isso começa a se tornar um problema quando estas pessoas esquecem outra família de assuntos onde termos como payload, cross site scripting e threat modeling. Em um mercado que cresce continuamente e a capacitação dos profissionais deveria acompanhar esta tendência, temos um cenário onde:
• O Gartner Group afirma que 75% das vulnerabilidades efetivamente exploradas por crackers estão na Camada de Aplicações.
• O OWASP Top 10 mantêm em 2007 quase que as mesmas vulnerabilidades apresentadas em 2004, e problemas conhecidos como XSS e SQL Injection continuam presentes em uma quantidade crescente de web sites.
• Os Top 10 Findings das auditorias de TI continuam sendo no gerenciamento de user ids e controle de acesso a sistemas considerados críticos.
Nenhum destes problemas está relacionado aos termos comuns no mercado, nenhuma política de segurança pode evitar que um usuário faça um by pass e crie um acesso a seu bel prazer. Para isso, é necessário enforcement através de testes contínuos e o estabelecimento de controles que se voltam para as responsabilidades da equipe técnica de onde boa parte dos profissionais que mantêm o risk management como discurso principal saíram.
O objetivo desta apresentação é discutir este assunto e mostrar que sem a devida atenção por parte dos gestores na administração dos controles técnicos de segurança, todos os processos que podem compor uma estratégia bem sucedida de GRC, simplesmente caem por terra e podem transformar uma administração de risco adequada em uma falsa sensação de segurança, como a experimentada pela Heartland Payment Systems no começo deste ano.
(Less)
Add a Comment