Segurança: Esforço Pontual ou Constante?
Muito se fala, atualmente, sobre segurança e proteção de dados. Principalmente depois de tantas empresas grandes e conhecidas terem vulnerabilidades exploradas, as quais expuseram diversas informações sigilosas e críticas.
Quando essas exposições se tornam públicas, por meio de notícias, sempre surge a dúvida: o que fazer para que esse tipo de situação não aconteça comigo e com a minha empresa? Como sempre, não existe uma resposta 100% certa. Mas sim, diversas ações e esforços que devem ser executados, em momentos e frequências diferentes.
Ou seja, aquela ideia de que “fazer um projeto enorme para a proteção da sua empresa como um todo” é o suficiente, está incorreta. Muitas outras medidas são extremamente necessárias para que a segurança seja melhorada e aprimorada cada vez mais. Nunca é demais lembrar que o atacante precisa de apenas um acerto para fazer um grande estrago em sua aplicação web.
Um exemplo importante para a manutenção e melhoria contínua da segurança é a adoção de processo de scan de vulnerabilidade em todas as aplicações. Esses scans são normalmente oferecidos como uma solução automatizada para varredura e teste das suas aplicações. A grande maioria desses serviços é responsável por atualizar a base de vulnerabilidades procuradas. Logo, existe por trás do serviço uma equipe dedicada em manter a qualidade do mesmo.
O interessante por trás da existência de um processo é o teste contínuo das suas aplicações. Hoje em dia, praticamente todas as aplicações que estão online, sofrem atualizações o tempo todo - seja para correção de bugs ou inclusão de novas funcionalidades.
Outro exemplo importante é o teste de penetração ou (PenTest). Com uma frequência muito menor, ele possuí uma abordagem bem mais ampla e complexa, sendo normalmente estruturado como um projeto. Focado não somente na sua aplicação/infraestrutura mas também em engenharia social, perímetro físico, dispositivos não online, entre outros. É bastante comum que esses testes de penetração resultem em políticas de segurança e políticas de utilização da internet e dos dispositivos.
É importante sempre ressaltar que ambas as abordagens são necessárias, cada uma delas em seu período e frequência específicos. Costuma-se dizer que uma abordagem complementa a outra. Enquanto existe um processo que verifica semanalmente a proteção dos seus sistemas web e infraestrutura - sempre testando novas vulnerabilidades - existe também cuidado e controle perante as políticas de segurança e dispositivos físicos.
Em suma, cada tipo de esforço é responsável por proteger continuamente um aspecto da sua companhia. Não existe abordagem certa ou errada, já que a mesma está intimamente ligada com o escopo de utilização. Apesar da verificação semanal de uma área que muda a cada 3 meses ser algo importante, o contrário não é verdadeiro - não é interessante, do ponto de vista de segurança, validar semestralmente áreas que mudam diariamente. Portanto, é essencial sempre ficar atento às mudanças e novas vulnerabilidades que surgem, com a finalidade de manter-se sempre protegido.
0 comentários: