19/11/2008 - IT Web

Passos para reduzir os riscos

Por: Matthew Miller, Nathaniel Puffer e Greg Shipley

Seu programa de gerenciamento de vulnerabilidade está pronto para 2009?

Os alertas disparam em um servidor de sistema situado em DMZ em um site remoto de uma petroleira. Os analistas concluíram que o scanner de vulnerabilidade havia identificado uma falha significativa na segurança. Depois de alguns e-mails e telefonemas, em pouco minutos, a empresa tinha toda a informação de que precisava. O sistema em questão era responsável pelo envio de relatórios, mas não estava ligado a nenhuma operação importante, ou seja, estava relativamente isolado, não continha informações confidenciais e sua exposição não afetaria outros sistemas próximos. Era um sistema bem remoto.

A resolução deste problema exigiria que um profissional de TI fosse até lá. No entanto, a empresa decidiu que não valia o esforço ou o gasto. O alerta foi registrado e agendado para a próxima manutenção de rotina no servidor. Lição aprendida com o caso: para o gerenciamento efetivo da vulnerabilidade deve-se aplicar a lógica e os princípios de gerenciamento de risco relativos ao valor para o negócio.

O cenário da vulnerabilidade, hoje, está minado com a exposição de aplicações personalizadas, infra-estruturas deficientes como redes wireless mal protegidas, além de métodos de ataque a desktops e usuários finais. Como mostraram algumas brechas recentes, o elemento criminal mudou nosso mundo "falante" e de pouco desenvolvimento para um mundo de malware clandestino, desenvolvido profissionalmente e bem direcionado.

Os CIOs precisam ter em mente que a área de TI deve trabalhar junto com as unidades de negócio para determinar uma postura de segurança completa, ou seja, com níveis de tolerância de risco aceitáveis, processos operacionais direcionados ao ambiente computacional como um todo e seleção de plataformas de tecnologias apropriadas para sustentar esses processos.