#7 #7 #7 #7 #7

Encontro do Capítulo OWASP Porto: 3 de setembro de 2025, às 18:00.

Estamos entusiasmados por lhe trazer mais um evento OWASP Porto. Como sempre, esperamos vê-lo no nosso próximo encontro!

Agenda

- 18:00 - Introdução e Boas-vindas pela liderança do capítulo OWASP Porto- 18:15 - HAL 9000: um Gestor de Risco para Sistemas ITSs por Tadeu Freitas- 19:00 - Integrando DevOps no IAM por Fabrizio Di Carlo- 20:00 - Bebidas & Jantar.

Palestras

Título: HAL 9000: um Gestor de Risco para Sistemas ITSsPalestrante: Tadeu Freitas

Resumo: HAL 9000 é um Gestor de Risco para Sistemas Tolerantes a Intrusão (ITSs), que avalia riscos de configuração em relação a invasões potenciais. Utiliza o conhecimento de ameaças reunido e permanece operacional, mesmo na ausência de informação atualizada. Com base nos seus conselhos, os ITSs podem adaptar-se dinâmica e proativamente a ameaças recentes para minimizar e mitigar futuras intrusões de adversários maliciosos. O nosso objetivo é mitigar o risco associado à exploração de vulnerabilidades recentemente descobertas que não foram classificadas ou não têm um script para reproduzir a exploração, dado o potencial de já terem sido exploradas como vulnerabilidades de dia-zero. Os nossos experimentos demonstram que a solução proposta pode aprender e replicar efetivamente o processo de avaliação da Base de Dados Nacional de Vulnerabilidades com 99% de precisão.

Bio: Tadeu Freitas. Doutorando na Faculdade de Ciências da Universidade do Porto, a especializar-se em Sistemas Tolerantes a Falhas e Intrusões. A sua investigação foca-se no desenvolvimento de sistemas distribuídos resilientes que mantêm a integridade operacional em condições adversas. Obteve o seu Mestrado Integrado em Sistemas de Redes e Informática na Faculdade de Ciências da Universidade do Porto, onde investigou 'Crowdsourcing de Fotos com Preservação de Privacidade em Ambientes Edge-Cloud.' Os seus interesses académicos incluem computação distribuída, cibersegurança, tecnologias que melhoram a privacidade e engenharia de resiliência.

Título: Integrando DevOps no IAMPalestrante: Fabrizio Di Carlo

Resumo: A gestão de identidade e acesso (IAM) tradicional no Entra ID (Azure AD) frequentemente depende de revisões manuais ou níveis premium caros para verificações de segurança automatizadas. Esta sessão apresenta o Maester, um framework open-source que introduz princípios de DevOps no IAM, permitindo que as equipas automatizem a validação da postura de segurança, imponham o princípio do menor privilégio em larga escala e mantenham conformidade contínua sem atualizações de licença dispendiosas. O problema central abordado é que a gestão tradicional do Entra ID depende de revisões manuais ou licenças premium P2 caras para automação de segurança. O Maester oferece uma alternativa, permitindo que as equipas automatizem revisões de acesso, implementem barreiras de segurança personalizadas e integrem práticas de DevOps. As funcionalidades chave incluem validação pré-implementação de alterações, deteção de desvios em modificações não autorizadas, e relatórios de conformidade automatizados para frameworks como ISO 27001 e NIST. Esta sessão estabelece uma ligação entre estratégia de GRC (Governança, Gestão de Risco e Conformidade) e execução técnica, mostrando como metodologias de DevOps podem transformar o IAM de uma mera caixa de verificação de conformidade num sistema dinâmico e auto-reparador. Perfeito para engenheiros de segurança, arquitetos de cloud e equipas de GRC que trabalham em ambientes Microsoft, esta palestra oferece insights práticos para fortalecer a postura de segurança do IAM enquanto reduz a sobrecarga operacional.

Bio: Fabrizio Di Carlo é um estrategista de cibersegurança com mais de uma década de experiência a aconselhar empresas em toda a Europa. Atualmente divide o seu tempo como CISO da Cyber Monks e Diretor Geral da ContrailRisks, uma consultoria boutique com sede em Berlim, onde ajuda startups e empresas a navegar nas complexidades de risco, conformidade e governação de segurança. O seu trabalho foca-se em alinhar a segurança com os resultados de negócios através de abordagens pragmáticas e baseadas em risco, e é um defensor da modernização da liderança em segurança através da 'Engenharia GRC', inspirada pela Engenharia de Confiabilidade do Site. Para além do trabalho com clientes, Fabrizio é um orador regular em eventos da indústria, partilhando insights sobre identidade digital, resiliência cibernética e operações vCISO.

Como chegar lá

Local a ser anunciado brevemente.