No geral as empresas continuam sofrendo quando o tema é a prática de gestão das vulnerabilidades de segurança. Nas entranhas do dia a dia do negócio, os riscos aumentam e se proliferam despercebidos e que, sem a devida prevenção, não poderão ser identificados, tratados e monitorados quanto ao seu efeito e possíveis sequelas. Por outro lado, os mesmos riscos também são amplificados no avanço de ambientes cada vez mais complexos, novas tecnologias e a interoperação entre dispositivos e a Internet das Coisas.
Da perspectiva organizacional
A organização focada em seu core business continuará a lançar produtos e serviços na velocidade da sobrevivência requerida para o negócio. E neste sentido, legítimo, espera não ter problemas com impactos de segurança provenientes de ameaças de segurança ao seu resultado, principalmente aquelas conhecidas e que o responsável por identificá-las e tratá-las seja assertivo.
Da escalada das ameaças
A frequência com que os registros dos dados são perdidos ou roubados é alarmante, conforme indica a pesquisa Breach Level Index: a cada 56 segundos temos um tipo de ataque. Violações de dados como as recentes ocorridas no Chemical Bank, na Stanford University, na SSM Health e no Corregio Police Department indicam o preocupante grau de risco ao qual as organizações estão expostas.
Todos os meses, de forma ininterrupta, os ataques seguem com forte tendência de alta; especialmente quando determinada empresa está em evidência ou existe algum momento político e econômico sensível.
Conforme uma pesquisa da OWASP, vulnerabilidades como injeção de códigos maliciosos, quebra de autenticação, exposição de dados sensíveis, controle de acesso ineficiente, má configuração de segurança, Cross-Site Scripting/XSS, entre outras, ainda são consideradas as falhas mais comumente encontradas e com forte poder de gerar prejuízos para as organizações.
Do modelo de Gestão das Vulnerabilidades
Por padrão o modelo deve propiciar a descoberta das vulnerabilidades, a priorização dos ativos a serem analisados, a avaliação dos riscos identificados, relatar as vulnerabilidades e indicar respostas para atuação.
Não se gerencia o que não se mede
Uma gestão que visa aprimorar o cenário de risco e que acompanha o dia a dia do negócio deve ter como premissa o uso de indicadores de performance quanto ao nível de segurança e exposição frente às ameaças em seu ambiente, além de analisar tendências e melhorias de segurança.
Não se mede o que não se define
Para uma correta definição de indicadores (ou medição dos riscos) é de extrema importância definir a estratégia para gestão de vulnerabilidade da organização. Nela, devem ser contemplados: qual o motivador da ação, o que será analisado (escopo), quando será realizada a verificação das vulnerabilidades (periodicidade), onde serão coletadas / armazenadas / processadas as informações (forma), o responsável por configurar / executar / avaliar resultados / compartilhar plano de ação / monitorar mitigação (quem) e, por fim, implementar as medidas de segurança apropriadas (como).
Não se define o que não se entende
Ter o apropriado entendimento irá salvá-lo de decisões equivocadas que podem custar dinheiro, tempo e – quem sabe? – o seu cargo. Tenha em mente que Teste de Invasão (Pentest) não é a mesma coisa que Análise de Vulnerabilidade. O teste está focado em ação pontual e direcionada, que trará benefícios para solução de falhas de segurança na visão do ambiente naquele momento.
Já a Análise de Vulnerabilidades está focada na melhoria contínua do ambiente, com ação periódica que acompanha a dinâmica não apenas das ameaças como também do próprio negócio.
Não há sucesso no que não se gerencia
Aprimorar o processo de gestão das vulnerabilidades dará à organização a capacidade dese antecipar a potenciais falhas que podem paralisar o negócio, expor negativamente sua imagem, levar os clientes para outros competidores, incorrer em multas por órgãos reguladores, etc. Assim, a prerrogativa executiva é a adoção de uma gestão focada na mitigação dos riscos.
Do resultado esperado
Uma vez definido o modelo de gestão – com indicadores adequados, uma tecnologia que permita verificar as vulnerabilidades, a visibilidade clara para a correta compreensão dos resultados e uma monitoração contínua – certamente a empresa estará no caminho certo para proteção do negócio.
*Cristiano Pimenta é diretor de serviços da Arcon