Avaliação de segurança como parte do processo: Um caminho inteligente

Algumas organizações contratam o serviço de teste de intrusão, com a ilusão de que por si só, esta será a solução para todos os problemas de segurança. Na verdade o teste de intrusão é uma arma poderosa para o amadurecimento da segurança, entretanto, não pode ser vista como solução definitiva, é necessária uma sinergia entre a consultoria e a equipe de segurança da organização, que será responsável por aplicar as recomendações oriundas dos resultados dos testes de intrusão.

Se nenhuma ação for tomada para mitigar os problemas encontrados, o risco de espionagem ou ainda invasão por vândalos, permanecerá intacto.

Existe um raciocínio que vem se tornando uma saída inteligente para as organizações, onde o ambiente de TI é maduro o suficiente para manter uma organização processual de homologação antes de colocar algum serviço em produção. Baseia-se em adicionar uma “caixa” no processo já existente, no final do período de homologação, ou seja, antes do serviço entrar em produção, os testes de intrusão são realizados.

Esta combinação vem se mostrando eficaz na identificação de problemas pontuais assim como os recorrentes, possibilitando uma ação preventiva.

A ideia fica mais clara e interessante, quando enxergamos a possibilidade de detectar um determinado tipo de vulnerabilidade na etapa de desenvolvimento de uma aplicação web, em cinco casos diferentes, o que sugere a necessidade de um treinamento específico para as pessoas que compõe a equipe de desenvolvimento, para que este problema seja compreendido e assim suprimido das próximas aplicações, evitando assim transtornos na fase de produção e claro, minimizando riscos de invasão e espionagem.

Algumas organizações ainda não conseguem chegar nesta realidade, por isso a consultoria é uma forte aliada na hora de pensar em organizar a casa, pois o background adquirido ao longo dos anos trás uma visão valiosa e que se mostra interessante ao ser levado em conta.

Postado por: Douglas dos Santos

Consultor de segurança da informação.

Leave a Reply