Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


Acompanhe nosso Twitter

20/11/2008 - IT Web Escrever Comentário Enviar Notícia por e-mail Feed RSS

Passos para reduzir os riscos — O processo em funcionamento

Por: Matthew Miller, Nathaniel Puffer e Greg Shipley

Seu programa de gerenciamento de vulnerabilidade está pronto para 2009?

Programas de gerenciamento de vulnerabilidade eficazes requerem o equilíbrio certo entre tecnologia, inteligência empresarial e processo. A tecnologia inclui, necessariamente, scanners de vulnerabilidade como o FoundScan, da McAfee; o QualysScan, da Qualy ou o Tenable Security Network, da Nessus; scanners de aplicações, como o WebInspect, da Hewlett-Packard ou o AppScan, da IBM; e ferramentas de configuração e gerenciamento de conserto. No entanto, sem vários processos de gerenciamento de vulnerabilidade, tais ferramentas não serão tão eficazes.

Um processo vital é reduzir a exposição de uma empresa aos seus adversários - o processo às vezes é conhecido como "redução da superfície de ataque". O termo "superfície de ataque" pode ser referente à suscetibilidade de um programa a vários meios de ataque ou a um sistema como um todo. As empresas geralmente usam uma combinação de exercícios de design de rede, gerenciamento de acesso e gerenciamento de configuração para reduzir as superfícies de ataque. Por exemplo, a superfície de ataque de um sistema pode ser reduzida ao se expor apenas os serviços necessários para a rede, desabilitando ou removendo softwares desnecessários ou limitando o número de usuários autorizados a logar no sistema.

Um programa de gerenciamento de vulnerabilidade eficaz também pode ajudar a gerenciar a postura geral de segurança de uma empresa e sua tolerância ao risco. Ao agregar dados sobre incidentes e vulnerabilidade, a área de TI pode melhorar a segurança. Tendências e correlação de dados ajudam a mostrar como as atividades internas e os eventos externos afetam o perfil de risco da empresa. Essa análise ajuda a medir o sucesso de projetos como os consertos e manutenção de sistemas, enquanto identifica áreas onde é necessário mais investimento.

Outro benefício dos programas de gerenciamento de vulnerabilidade é que eles ajudam a alcançar objetivos de compliance. Padrões técnico, frameworks operacionais, ajustes como Sarbanes-Oxley e frameworks específicos para algumas industrias, como HIPAA e PCI, têm estimulado as empresas a implementar controle e relatórios de seu sucesso. Um programa de gerenciamento de vulnerabilidade eficaz pode ajudar a demonstrar compliance com controle estabelecido, assim como alertar para problemas de compliance. A combinação da correlação de dados e ferramentas com um programa maduro de gerenciamento de vulnerabilidade pode extrair estatísticas sobre período de validade de senhas padrão, tempo de expiração e requerimentos complexos e colocá-las em relatórios de compliance.

No entanto, nós vimos empresas investir pesado em ferramentas de segurança e scanners elaborados, apenas para ver suas equipes revisando resultados semelhantes, relatório após relatório, mês após mês, ano após ano. O ciclo mensal de ajustes é necessário mas relativamente bem conhecido com um mal que não parece ter fim a curto prazo. Ainda assim, muitas empresas encontram problemas em aplicações internas, deixando passar os ajustes por mais de 30 dias e dispositivos que não são compatíveis com os padrões. Muitas das falhas que levam a essas descobertas são sistemáticas por natureza, e a habilidade de direcionar as causas-base é, geralmente, o que diferencia um programa de gerenciamento de vulnerabilidade eficiente de um outro ineficiente.

Então como se quebra o ciclo da ineficiência? Alguns passos são de extrema importância.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 152 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2016 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal