Contato
Quem Somos
Quero Patrocinar

Gestão de Vulnerabilidades na estratégia de proteção do negócio

As empresas continuam sofrendo em relação ao tema. Nas entranhas do dia a dia corporativo, os riscos aumentam e se proliferam despercebidos e, sem a devida prevenção, não poderão ser identificados, tratados e monitorados quanto ao seu efeito e possíveis sequelas

Compartilhar:

No geral as empresas continuam sofrendo quando o tema é a prática de gestão das vulnerabilidades de segurança. Nas entranhas do dia a dia do negócio, os riscos aumentam e se proliferam despercebidos e que, sem a devida prevenção, não poderão ser identificados, tratados e monitorados quanto ao seu efeito e possíveis sequelas. Por outro lado, os mesmos riscos também são amplificados no avanço de ambientes cada vez mais complexos, novas tecnologias e a interoperação entre dispositivos e a Internet das Coisas.

 

Da perspectiva organizacional

A organização focada em seu core business continuará a lançar produtos e serviços na velocidade da sobrevivência requerida para o negócio. E neste sentido, legítimo, espera não ter problemas com impactos de segurança provenientes de ameaças de segurança ao seu resultado, principalmente aquelas conhecidas e que o responsável por identificá-las e tratá-las seja assertivo.

 

Da escalada das ameaças

A frequência com que os registros dos dados são perdidos ou roubados é alarmante, conforme indica a pesquisa Breach Level Index: a cada 56 segundos temos um tipo de ataque. Violações de dados como as recentes ocorridas no Chemical Bank, na Stanford University, na SSM Health e no Corregio Police Department indicam o preocupante grau de risco ao qual as organizações estão expostas.

 

Todos os meses, de forma ininterrupta, os ataques seguem com forte tendência de alta; especialmente quando determinada empresa está em evidência ou existe algum momento político e econômico sensível.

 

Conforme uma pesquisa da OWASP, vulnerabilidades como injeção de códigos maliciosos, quebra de autenticação, exposição de dados sensíveis, controle de acesso ineficiente, má configuração de segurança, Cross-Site Scripting/XSS, entre outras, ainda são consideradas as falhas mais comumente encontradas e com forte poder de gerar prejuízos para as organizações.

 

Do modelo de Gestão das Vulnerabilidades

Por padrão o modelo deve propiciar a descoberta das vulnerabilidades, a priorização dos ativos a serem analisados, a avaliação dos riscos identificados, relatar as vulnerabilidades e indicar respostas para atuação.

 

Não se gerencia o que não se mede

Uma gestão que visa aprimorar o cenário de risco e que acompanha o dia a dia do negócio deve ter como premissa o uso de indicadores de performance quanto ao nível de segurança e exposição frente às ameaças em seu ambiente, além de analisar tendências e melhorias de segurança.

 

 

Não se mede o que não se define

Para uma correta definição de indicadores (ou medição dos riscos) é de extrema importância definir a estratégia para gestão de vulnerabilidade da organização. Nela, devem ser contemplados: qual o motivador da ação, o que será analisado (escopo), quando será realizada a verificação das vulnerabilidades (periodicidade), onde serão coletadas / armazenadas / processadas as informações (forma), o responsável por configurar / executar / avaliar resultados / compartilhar plano de ação / monitorar mitigação (quem) e, por fim, implementar as medidas de segurança apropriadas (como).

 

Não se define o que não se entende

Ter o apropriado entendimento irá salvá-lo de decisões equivocadas que podem custar dinheiro, tempo e – quem sabe? – o seu cargo. Tenha em mente que Teste de Invasão (Pentest) não é a mesma coisa que Análise de Vulnerabilidade. O teste está focado em ação pontual e direcionada, que trará benefícios para solução de falhas de segurança na visão do ambiente naquele momento.

 

Já a Análise de Vulnerabilidades está focada na melhoria contínua do ambiente, com ação periódica que acompanha a dinâmica não apenas das ameaças como também do próprio negócio.

 

Não há sucesso no que não se gerencia

Aprimorar o processo de gestão das vulnerabilidades dará à organização a capacidade dese antecipar a potenciais falhas que podem paralisar o negócio, expor negativamente sua imagem, levar os clientes para outros competidores, incorrer em multas por órgãos reguladores, etc. Assim, a prerrogativa executiva é a adoção de uma gestão focada na mitigação dos riscos.

 

Do resultado esperado

Uma vez definido o modelo de gestão – com indicadores adequados, uma tecnologia que permita verificar as vulnerabilidades, a visibilidade clara para a correta compreensão dos resultados e uma monitoração contínua – certamente a empresa estará no caminho certo para proteção do negócio.

 

*Cristiano Pimenta é diretor de serviços da Arcon

 

Destaques

Insegurança com dados é o maior entrave para a IA em 56% das empresas, diz estudo

Gartner aponta as principais tendências de Segurança Cibernética para 2026

“Nem pânico, nem negligência”: Segurança quântica depende de equilíbrio

Security Leaders Store: O novo hub de conhecimento estratégico para a liderança em Cibersegurança

Escolas no alvo: Como proteger informações de estudantes e docentes nas aulas online?

Ataques de ransomware crescem 17% em 2025

Colunas & Blogs

Avatar photo
O papel estratégico do DPO, CIO e CISO na gestão de riscos psicossociais: alinhando a NR01 à LGPD
Cristina Sleiman
Avatar photo
Comunicação em Cyber: Qual o impacto do Social Styles na sua carreira?
Denis Nesi
Avatar photo
O fim do anonimato geográfico
Fabio Correa Xavier
Avatar photo
ROI e RONI em Cibersegurança: entendendo as diferenças e seu impacto estratégico
Fábio Araújo
Avatar photo
Tendências da RSA Conference 2025 na visão de CISO Advisor
Glauco Sampaio
Avatar photo
Quando o alerta do WEF fala de fraude, cabe perguntar: qual fraude?
Rodrigo Jorge
Avatar photo
Cibersegurança como Política Pública: Parcerias Público-Privadas
Julio Signorini
Avatar photo
Business Language: A Chave para a Cibersegurança Estratégica
Lucas Dartora
Aquisição da CyberArk pela Palo Alto aponta cenário de inflexão na Segurança de Identidade
Léia Machado, Mariana Nalesso Pó e Matheus Bracco
Avatar photo
Competências equilibradas para os CISOs
Luiz Firmino
Avatar photo
Resiliência Operacional: Alinhando Capacidades de Resiliência ao Futuro Digital
Renato Lima
Avatar photo
Fundamentando o nível de risco desejável
Rangel Rodrigues
Avatar photo
Feliz 2026!
Rui Borges
Vazamento de dados em Pernambuco expõe desafios do Governo e reacende debate entre CISOs
Sergio Sermoud
Avatar photo
Capacitação em Deep Learning e Inteligência Artificial para a Segurança Cibernética
Fabiana Tanaka

Conteúdos Relacionados

Security Report | Destaques

“Nem pânico, nem negligência”: Segurança quântica depende de equilíbrio

Apesar de a Computação quântica já ter se tornado parte do hype da Segurança Cibernética, demasiadamente focada no medo, o...
Leia Mais
  • Matheus Bracco
  • março 4, 2026
Security Report | Destaques

Security Leaders Store: O novo hub de conhecimento estratégico para a liderança em Cibersegurança

A maior plataforma de Segurança da Informação do Brasil expande seu ecossistema com o lançamento de uma Store exclusiva, oferecendo...
Leia Mais
  • Redação
  • março 4, 2026
Security Report | Destaques

É AMANHÃ: Quantum e legislação de SI são destaques no Security Leaders Brasília

O Security Leaders Brasília inaugura a jornada do maior e mais qualificado evento de Segurança da Informação e Cibernética do...
Leia Mais
  • Matheus Bracco
  • março 3, 2026
Security Report | Destaques

Novos requisitos de Cyber do Bacen favorece SI estratégico, defende CISO

Período de adequação às novas demandas de Segurança Cibernética do Banco Central se encerrou nesse início de semana, e, na...
Leia Mais
  • Matheus Bracco
  • março 2, 2026