Gestão de vulnerabilidades: a importância de mapear riscos e estabelecer estratégias
Por Marcelo Mendes Santos, gerente de TI CISO da
NEO
Como um movimento natural que surge para
auxiliar no equilíbrio entre inovação tecnológica e proteção de dados, a
legislação atual apresenta um passo necessário para a evolução das formas de
compartilhamento e processamento de informações pessoais, em que o epicentro é
o próprio indivíduo, o dono desses dados.
A Lei Geral de Proteção de Dados
Pessoais, ou simplesmente LGPD, estabelece regras para a coleta e o tratamento
de dados pessoais, bem como responsabilidades para os agentes envolvidos,
responsáveis por proteger o cidadão dos inúmeros excessos ocorridos nos últimos
anos.
E como trata a lei em seus artigos que
estabelece medidas técnicas razoáveis em segurança da informação, uma das
técnicas que deve fazer parte é a gestão de vulnerabilidades técnicas, assim
como a proteção das estações de trabalho e servidores (endpoints). Com as
crescentes ameaças de ataques virtuais que exploram as falhas dos sistemas
operacionais e sistemas da informação, faz-se necessário o estabelecimento de
um calendário robusto, que seja voltado à gestão de vulnerabilidades, com
ciclos contínuos de tratamento e mitigação das falhas de segurança destes
sistemas. E uma das maneiras de se tratar estas vulnerabilidades é a execução
de pentest semestrais/anuais, não só da infraestrutura, mas também a adoção de
técnicas seguras no seu desenvolvimento de sistemas.
Além da execução do pentest, o uso de
ferramenta de scan de vulnerabilidade aliado a um calendário de scanning e
mitigação em conformidade com o calendário de atualização dos players de
mercado utilizados na organização ajuda a estabelecer um controle mais efetivo,
minimizando os possíveis impactos ao ambiente digital. Tendo uma vigilância
constante dos ativos de informação, é possível mantê-los mais protegidos. E,
como suporte a este tipo de iniciativa, temos as boas práticas de mercado –
como, por exemplo, o uso de OpenVAS para mitigação de vulnerabilidades e os
princípios de desenvolvimento seguro OWASP.
O OpenVAS
é considerado um completo scanner de vulnerabilidades. Seus recursos incluem
testes não autenticados, testes autenticados, diversos protocolos industriais e
de Internet de alto e baixo nível, ajuste de desempenho para verificações em
larga escala e uma poderosa linguagem de programação interna que permite
implementar qualquer tipo de teste de vulnerabilidade. E os princípios de
desenvolvimento seguro OWASP (Open Web
Application Security Project) buscam mitigar os 10 principais problemas de
segurança:
1 – Minimizar a superfície de área de
ataque;
2 – Estabelecimento de Padrões;
3 – Princípio do Menor Privilégio:
4 – Princípio da Defesa em Profundidade;
5 – Falhar com Segurança
6 – Não confiar nos Serviços;
7 – Separação de deveres;
8 – Evitar a segurança por obscuridade;
9 – Manutenção de segurança simples;
10 – Correção de Problemas de Segurança da maneira correta.
A lista acima é baseada no consenso
entre a comunidade de desenvolvedores sobre os principais riscos de segurança,
e atualizada de tempos em tempos à medida que os riscos mudam e novos surgem.
Como você pode ver, a lista explica as falhas de segurança de aplicativos da
Web mais perigosas, fornecendo às empresas recomendações para lidar com elas.
Com muitos avanços acontecendo nesta era de digitalização, precisamos dar um foco considerável no preenchimento de lacunas de vulnerabilidade, minimizando os riscos de hackers e, assim, protegendo os ativos digitais. Cabe à cada organização investir e dedicar tempo e recursos a isto, de forma a garantir a segurança de todos.
Nenhum comentário