A segurança da informação é um dos pilares fundamentais para a proteção das organizações e, dentro desse contexto, garantir que não haja vulnerabilidades é essencial, ou seja, qualquer falha ou deficiência presente em qualquer componente de Tecnologia da Informação pode se tornar um vetor de ataque, expondo a companhia a riscos significativos se não for corrigido.
As vulnerabilidades devem ser tratadas com a seriedade que merecem, uma vez que representam uma ameaça crítica para as empresas. Para se ter uma ideia, uma pesquisa nacional sobre maturidade em gestão de crises e continuidade de negócios no Brasil publicada neste ano mostra que os incidentes de TI estão no topo dos riscos das empresas. Acessos indevidos e ataques ransomwares são os principais incidentes apontados pelas empresas.
Por isso, é imprescindível que a gestão de segurança considere não apenas a parte tecnológica, mas também os processos e as pessoas envolvidas, ou seja, é preciso ter uma visão holística para mitigar os riscos.
A principal importância nessa abordagem dinâmica reside na na conscientização dos funcionários, que desempenham um papel crucial na segurança, especialmente em um ambiente de trabalho remoto. Com o home office, as pessoas estão constantemente transitando entre o trabalho e o lar, transportando informações que precisam ser protegidas com cuidado redobrado.
No relatório Panorama de Ameaças de 2023, realizado pela Qualys, quase 30 mil vulnerabilidades foram contabilizadas, sendo que 25% delas tiveram formas de exploração desenvolvidas no mesmo dia. Isso evidencia quão crítica é a situação, uma vez que dispositivos como smartphones podem ser rapidamente comprometidos por agentes mal-intencionados.
Diante desse cenário, o programa de gestão de vulnerabilidades deve ser adotado como uma responsabilidade coletiva, abrangendo todos os níveis de colaboradores da organização. Todos devem estar engajados na manutenção da segurança, seja aplicando operações, modificando código ou simplesmente reiniciando uma máquina.
Diretrizes para o processo
Para começar, a gestão deve realizar o inventário de ativos, mapeando tudo o que está conectado à rede, tanto dentro quanto fora dela. Desde a pandemia, os ativos de TI se descentralizaram, e a gestão precisa incluir não apenas servidores, notebooks e smartphones, mas também impressoras, sistemas e bancos de dados.
Vale ressaltar que esse mapeamento deve ser preciso, abrangendo até mesmo componentes que, à primeira vista, possam parecer inofensivos, como drivers de impressoras. Lembre-se que um detalhe ignorado pode se tornar uma porta de entrada para ataques. Reuniões regulares devem ocorrer para revisar o inventário e garantir que todos os dispositivos com endereço IP estejam homologados e livres de vulnerabilidades. Embora não exista uma abordagem única que se aplique a todas as empresas, é comum adotar uma estratégia faseada. Diferente da distribuição de atualizações para estações de trabalho, nos servidores o processo é gradual, começando em ambientes de QA (Quality Assurance) e seguindo para desenvolvimento, homologação e, por fim, produção. Quando uma nova vulnerabilidade é descoberta, o mapeamento prévio permite uma resposta rápida e eficaz, mesmo antes do fornecedor lançar uma correção oficial, conseguindo evitar casos de “zero day”, por exemplo.
Infelizmente, muitas empresas ainda não realizam a gestão de vulnerabilidades de forma adequada, utilizando métodos manuais e planilhas compartilhadas que muitas vezes não refletem o inventário real. O ideal é contar com agentes automatizados rodando nos servidores e escaneamentos que mapeiam a rede, garantindo um resultado preciso. Isso não apenas facilita o processo, mas fortalece toda a segurança da empresa.
Em resumo, a gestão de vulnerabilidades é uma prática indispensável para a proteção das organizações. Ela exige um compromisso contínuo de todos os envolvidos, uma visão abrangente e o uso de ferramentas adequadas para garantir a segurança dos ativos e a integridade das operações empresariais.
*Por Adenilson Boccato, gerente de cibersegurança na Protiviti.
