Seu programa de gerenciamento de vulnerabilidade está pronto para 2009?
Os alertas disparam em um servidor de sistema situado em DMZ em um site remoto de uma petroleira. Os analistas concluíram que o scanner de vulnerabilidade havia identificado uma falha significativa na segurança. Depois de alguns e-mails e telefonemas, em pouco minutos, a empresa tinha toda a informação de que precisava. O sistema em questão era responsável pelo envio de relatórios, mas não estava ligado a nenhuma operação importante, ou seja, estava relativamente isolado, não continha informações confidenciais e sua exposição não afetaria outros sistemas próximos. Era um sistema bem remoto.
A resolução deste problema exigiria que um profissional de TI fosse até lá. No entanto, a empresa decidiu que não valia o esforço ou o gasto. O alerta foi registrado e agendado para a próxima manutenção de rotina no servidor. Lição aprendida com o caso: para o gerenciamento efetivo da vulnerabilidade deve-se aplicar a lógica e os princípios de gerenciamento de risco relativos ao valor para o negócio.
O cenário da vulnerabilidade, hoje, está minado com a exposição de aplicações personalizadas, infra-estruturas deficientes como redes wireless mal protegidas, além de métodos de ataque a desktops e usuários finais. Como mostraram algumas brechas recentes, o elemento criminal mudou nosso mundo “falante” e de pouco desenvolvimento para um mundo de malware clandestino, desenvolvido profissionalmente e bem direcionado.
Os CIOs precisam ter em mente que a área de TI deve trabalhar junto com as unidades de negócio para determinar uma postura de segurança completa, ou seja, com níveis de tolerância de risco aceitáveis, processos operacionais direcionados ao ambiente computacional como um todo e seleção de plataformas de tecnologias apropriadas para sustentar esses processos.
A partir desta quarta-feira (19/11), o IT Web publica uma série de dicas sobre o que as empresas devem fazer para minimizar os riscos à segurança. Acompanhe!
* Matthew Miller, Nathaniel Puffer e Greg Shipley trabalham na Neohapsis, uma empresa de serviços e software de gerenciamento de risco de informação
Leia mais:
Confira as todas as reportagens
Passos para reduzir os riscos – O processo em funcionamento (a partir de 20/11)
Passos para reduzir os riscos – A integração de coleta de dados (a partir de 21/11)
Passos para reduzir os riscos – Estabeleça prioridades (a partir de 24/11)
Passos para reduzir os riscos – Continue refinando (a partir de 25/11)
