Teste de intrusão como entrada para o processo de gestão de riscos

Teste de intrusão é uma atividade na qual profissionais altamente especializados utilizam seus conhecimentos para detectar falhas de segurança em equipamentos e softwares de TI (computadores, sistemas, equipamentos de rede, etc.)

Empresas que querem saber se possuem falhas de segurança em seus sistemas/estrutura contratam o serviço. É importante salientar que existem diversos programas disponíveis gratuitamente na internet, que tem como objetivo apontar possíveis falhas de segurança. Esses programas não fazem testes de intrusão. Além de gerar um grande número de falso-positivos, os “scanners de vulnerabilidade” disponíveis na internet muitas vezes não detectam as principais falhas de segurança existentes nos sistemas. Mais uma vez: os testes de intrusão são realizados em grande parte de forma manual, por consultores com grande conhecimento técnico e experiência.

Um dos principais objetivos dos testes de intrusão é mostrar um mapa das falhas de segurança existentes, através de relatórios com recomendações de melhoria, mas neste artigo iremos abordar o resultado desse tipo de teste como uma das entradas para o processo de gestão de riscos.

Sabemos que processos são conjuntos de atividades sequenciais que recebem “entradas” que são processadas, gerando “saídas”.

No caso da gestão de riscos podemos trabalhar com diversas entradas, mas para simplificar, vamos assumir duas entradas principais:

1 – vulnerabilidades técnicas
2 – vulnerabilidades de processos

As deficiências/fragilidades/vulnerabilidades existentes na empresa representam riscos às informações e ao negócio, por isso devem ser conhecidos e tratados, de acordo com sua criticidade.

As formas mais comuns de identificação de fragilidades nos processos de segurança da informação são as auditorias ou GAP analysis, que normalmente são baseadas em normas, leis ou decretos que devem ser atendidos pela empresa, tais como BACEN 3380 para instituições financeiras, ANS/ONA/TISS para empresas da área da saúde ou ISO 27001 para empresas que optam por definir, implementar e manter um sistema de gestão de segurança da informação.

Já para fragilidades técnicas, temos os testes de segurança como testes de intrusão ou análise de vulnerabilidades.

O resultado (saída) dos testes de intrusão, traz como principais informações as vulnerabilidades dos ativos testados. Esses ativos podem ser serviços de infraestrutura, aplicações, sistemas operacionais, entre outros. Então neste caso temos dois componentes (ativos e vulnerabilidades) muito importantes para o conhecimento de riscos, ou para a associação dos riscos já existentes.

Para melhor entendimento, apresento uma matriz fictícia, com informações mínimas para a gestão de riscos.

 

Saída dos Testes de Intrusão Ameaças Risco Impacto Probabilidade  …
Ativo Vulnerabilidade
Aplicação
WEB
ASVID1 – SQL
Injection
Atacante
Externo
Vazamento de
informações confidenciais
existentes no ERP
corporativo
Alto Baixo  …

 

No exemplo fica claro que a vulnerabilidade encontrada na aplicação WEB através dos testes de intrusão foi utilizada na matriz de riscos, e através do conhecimento da existência da vulnerabilidade, a empresa fica conhecedora de um risco que poderia até então ser desconhecido, e com isso tem os insumos necessários para criar controles de forma que esse risco seja minimizado.

Como conclusão é importante entender que os testes de intrusão devem ser utilizados como uma “ferramenta” que trará à luz riscos de negócio que podem ser desconhecidos, ou incrementar os riscos já mapeados com novas vulnerabilidades.

Postado por:

Leave a Reply