Linkedin-in Youtube Twitter Facebook-f Instagram
  • +55 (11) 3255 -3926
  • contato@ibliss.com.br
IBLISS – Consultoria em Segurança Cibernética
  • Home
  • A IBLISS
  • Nossos Serviços
    • Consultoria em Cibersegurança
    • Governança, Risco e Compliance (GRC)
    • Serviços Gerenciados (MSS)
    • Teste de Intrusão
    • Conscientização e Cultura
    • AppSec & DevSecOps
  • Blog
  • Oportunidades
  • Contato
IBLISS – Consultoria em Segurança Cibernética
  • A IBLISS
    • Nossa Equipe
    • Responsabilidade Social
  • Blog Minuto Proteção
  • Contato
  • Home
  • Nosso Propósito
  • Nossos Serviços
    • AppSec & DevSecOps
      • Análise SAST e DAST
      • Revisão de Segurança (ASVS)
    • Conscientização e Cultura
    • Consultoria em Cibersegurança
      • Teste de Intrusão
    • Governança, Risco e Compliance (GRC)
    • Serviços Gerenciados (MSS)
  • Parceiros
  • Política de Alto Nível
  • Política de Privacidade

Blog Minuto Proteção

  • Home
  • Blog Minuto Proteção
  • Segurança Digital
  • Resumo do debate entre Hackers e Security Officers na H2HC
Segurança Digital
_ 29 de novembro de 2009

Resumo do debate entre Hackers e Security Officers na H2HC

Durante a sexta edição da H2HC, aconteceu o primeiro H2CSO, um encontro apoiado pela Decision Report que colocou hackers e CSOs, gerentes e diretorias que respondem pela segurança da informação, juntos em um fórum para debate e aproximação dos dois lados da “força”.

Estavam presentes CSO de diversas empresas como Daniel Sobral, da Friboi, Antonio Vinhas,do Deutsch Bank, Sérgio Ricupero, da editora Abril, entre outros. Do lado dos hackers, estavam alguns caras muito bons como o Rodrigo Rubira Branco, da Checkpoint/Coseinc, Nicolas Waisman, da Immunity, Sebastian Porst, Zynamics, etc.

Eu estava lá e acompanhei de perto o debate.  Na primeira parte foi discutido sobre o conceito hacker e a visão que as empresas tem desses profissionais. Tive que sair no meio da primeira parte pois o Bruno iria começar a palestrar e não queria deixar de perder uma das melhores e mais provocativas apresentações do evento: “Breaking the Perimeter Through The Human Stupidity”, na qual reproduziu  a gravação de um ataque de engenharia social realizado com sucesso (com a devida autorização da empresa atacada, claro!).

Voltei para a segunda parte do H2CSO e aqui a discussão começou a ficar interessante.

Começou a ser discutido o ROI (Retorno do Investimento)  em Segurança da Informação, que continua a ser a principal resistência para as empresas em investirem em segurança. Por um lado, as empresas precisam de uma forma para estimar o impacto de incidentes de segurança nos negócios, que mostre os resultados, benefícios e ampare as decisões e budget de investimento nesta área, como apontado por Cibele Tessari, CIO da Andrade Gutierrez. Por outro lado, Nicolas Waisman lançou a seguinte reflexão: “Quanto uma empresa perde com um ataque ou incidente?”. Nesta reflexão podemos elencar perdas em diferentes aspectos como: imagem da empresa, indisponibilidade, financeira, custos com recuperação do ambiente, comprometimento de dados e informações, etc.

Para cada um dos cenários, a estimativa do impacto se torna ainda mais difícil de ser identificada previamente, pois depende de outros fatores como a maturidade de TI e segurança da empresa em questão. A presença de controles de segurança, de logs até WAFs, permitem a identificação, rastreamento e, até, a minimização dos escopo de um incidente.

Ou seja, sem um diagnóstico do atual estado de TI, não é possível identificar gaps e planejar a segurança corporativa adequadamente. Normalmente, os gastos relacionados a segurança da informação são empregados pontualmente com testes de segurança ou soluções que nem sempre são adequadas para a empresa ou, então, como meros “extintores de incêndio”,  situações em que não é possível identificar o retorno para a empresa. Por isso, é necessário que o alto escalão enxergue a segurança como um fator crítico ao negócio, uma vez que todos os processos covergem para ambientes tecnológicos e interconectados, independente do segmento de atuação.

Outra discussão importante foi quanto a presença de equipes de segurança técnica e a contratação de hackers profissionais pelas empresas. Sérgio Ricupero fez uma interessante analogia desses profissionais internos com um eventual ERP desenvolvido pela empresa. Por mais que o resultado seja satisfatório, não é o business da empresa.

É indiscutível a necessidade de haver equipes de segurança da informação e conformidade nas empresas, para definição de diretrizes, acompanhamento de processos e qualidade. Porém, manter equipes técnicas multidisciplinares acarreta em alto custo para a empresa e muitas vezes desinteressante para o profissional, por conta da desmotivação causada pela rotina e ausência de desafios.

Em resumo: a área de segurança da informação está ganhando força e as empresas estão começando a entender isso como sendo crítico ao negócio. A tendência para serviços está caminhando para a terceirização, de forma que as empresas possam contar com profissionais qualificados para cada situação, sem ter que gastar fortunas em equipes internas.

O modelo do evento foi inédito e creio que muito proveitoso para ambos os lados da discussão:  hackers e CSOs! Parabéns Rodrigo e Balestra pela idéia e iniciativa!

[]´s

CSO Investimento Segurança da Informação
♥1
Outro método de exploração de SQL Injection e bypassar WAFs
3 de novembro de 2009
Scanners de Aplicação Web
19 de fevereiro de 2010

Leave a comment Cancelar resposta

Você precisa fazer o login para publicar um comentário.

Postagens Recentes

  • Como manter a segurança de nossas crianças na Internet?
  • Seus colaboradores estão prontos para os desafios trazidos pela Segurança da Informação e Privacidade?
  • Resiliência Cibernética: como está sua resposta ao incidente?
  • IBLISS Digital Security anuncia parceria com a empresa INVIRON
  • IBLISS conquista certificação GPTW pelo terceiro ano consecutivo

Categorias

  • Acontece na IBLISS
  • Ameaças
  • AppSec & DevSecOps
  • Ataques Cibernéticos
  • Blog
  • Cibersegurança
  • Consciencialização
  • Conscientização
  • Cyber Protection
  • Diário de Um Pentester
  • eBook
  • Education
  • Estratégia em Segurança
  • Eventos
  • GDPR
  • Gestão de vulnerabilidades
  • LGPD
  • Notícias IBLISS
  • Privacidade
  • RGPD
  • Risk e compliance
  • root
  • Segurança Digital
  • Segurança no E-Commerce
  • Sensibilização
  • Technology
  • Testes de invasão
  • Uncategorized
  • Vagas
  • Vulnerabilidades

Contato

Av. Angélica, 2582
2° Andar
CEP 01228-200
Bela Vista
São Paulo / SP

contato@ibliss.com.br

+55 (11) 3255 -3926

IBLISS_Parcerias_Certificado-1536x512-1-pm727zz2jah6fbi8ty4ggbgwzzn3clcj1wf0235qf4

Links

  • A IBLISS
  • Nossos Serviços
  • Blog
  • Oportunidades
  • Contato
  • Política de Privacidade

Siga a IBLISS

Linkedin Youtube Facebook Instagram Twitter

Newsletter

© 2022 IBLISS Digital Security. Todos os direitos reservados. Desenvolvido por QMove.