As empresas continuam sofrendo em relação ao tema. Nas entranhas do dia a dia corporativo, os riscos aumentam e se proliferam despercebidos e, sem a devida prevenção, não poderão ser identificados, tratados e monitorados quanto ao seu efeito e possíveis sequelas

Autor: Cristiano Pimenta

No geral as empresas continuam sofrendo quando o tema é a prática de gestão das vulnerabilidades de segurança. Nas entranhas do dia a dia do negócio, os riscos aumentam e se proliferam despercebidos e que, sem a devida prevenção, não poderão ser identificados, tratados e monitorados quanto ao seu efeito e possíveis sequelas. Por outro lado, os mesmos riscos também são amplificados no avanço de ambientes cada vez mais complexos, novas tecnologias e a interoperação entre dispositivos e a Internet das Coisas.

Da perspectiva organizacional

A organização focada em seu core business continuará a lançar produtos e serviços na velocidade da sobrevivência requerida para o negócio. E neste sentido, legítimo, espera não ter problemas com impactos de segurança provenientes de ameaças de segurança ao seu resultado, principalmente aquelas conhecidas e que o responsável por identificá-las e tratá-las seja assertivo.

Da escalada das ameaças

A frequência com que os registros dos dados são perdidos ou roubados é alarmante, conforme indica a pesquisa Breach Level Index: a cada 56 segundos temos um tipo de ataque. Violações de dados como as recentes ocorridas no Chemical Bank, na Stanford University, na SSM Health e no Corregio Police Department indicam o preocupante grau de risco ao qual as organizações estão expostas.

Todos os meses, de forma ininterrupta, os ataques seguem com forte tendência de alta; especialmente quando determinada empresa está em evidência ou existe algum momento político e econômico sensível.

Conforme uma pesquisa da OWASP, vulnerabilidades como injeção de códigos maliciosos, quebra de autenticação, exposição de dados sensíveis, controle de acesso ineficiente, má configuração de segurança, Cross-Site Scripting/XSS, entre outras, ainda são consideradas as falhas mais comumente encontradas e com forte poder de gerar prejuízos para as organizações.

Do modelo de Gestão das Vulnerabilidades

Por padrão o modelo deve propiciar a descoberta das vulnerabilidades, a priorização dos ativos a serem analisados, a avaliação dos riscos identificados, relatar as vulnerabilidades e indicar respostas para atuação.

Não se gerencia o que não se mede

Uma gestão que visa aprimorar o cenário de risco e que acompanha o dia a dia do negócio deve ter como premissa o uso de indicadores de performance quanto ao nível de segurança e exposição frente às ameaças em seu ambiente, além de analisar tendências e melhorias de segurança.

Não se mede o que não se define

Para uma correta definição de indicadores (ou medição dos riscos) é de extrema importância definir a estratégia para gestão de vulnerabilidade da organização. Nela, devem ser contemplados: qual o motivador da ação, o que será analisado (escopo), quando será realizada a verificação das vulnerabilidades (periodicidade), onde serão coletadas / armazenadas / processadas as informações (forma), o responsável por configurar / executar / avaliar resultados / compartilhar plano de ação / monitorar mitigação (quem) e, por fim, implementar as medidas de segurança apropriadas (como).

Não se define o que não se entende

Ter o apropriado entendimento irá salvá-lo de decisões equivocadas que podem custar dinheiro, tempo e – quem sabe? – o seu cargo. Tenha em mente que Teste de Invasão (Pentest) não é a mesma coisa que Análise de Vulnerabilidade. O teste está focado em ação pontual e direcionada, que trará benefícios para solução de falhas de segurança na visão do ambiente naquele momento.

Já a Análise de Vulnerabilidades está focada na melhoria contínua do ambiente, com ação periódica que acompanha a dinâmica não apenas das ameaças como também do próprio negócio.

Não há sucesso no que não se gerencia

Aprimorar o processo de gestão das vulnerabilidades dará à organização a capacidade dese antecipar a potenciais falhas que podem paralisar o negócio, expor negativamente sua imagem, levar os clientes para outros competidores, incorrer em multas por órgãos reguladores, etc. Assim, a prerrogativa executiva é a adoção de uma gestão focada na mitigação dos riscos.

Do resultado esperado

Uma vez definido o modelo de gestão – com indicadores adequados, uma tecnologia que permita verificar as vulnerabilidades, a visibilidade clara para a correta compreensão dos resultados e uma monitoração contínua – certamente a empresa estará no caminho certo para proteção do negócio.

*Cristiano Pimenta é diretor de serviços da Arcon

Fonte: Security Report