As vulnerabilidades existem, mas a questão é se sua empresa já as identificou.
Como fazê-lo? Existem várias formas, mas a mais completa é através de um Pentest, um teste cuja função é realizar uma auditoria na administração das redes corporativas.
Está sua empresa realmente segura? Só um teste de intrusão poderá dar uma resposta.
Mesmo com soluções de segurança, sua empresa corre o risco de ter vulnerabilidades não identificadas e que só um pentest poderá identificar, pois esse tipo de teste tem como objetivo se colocar na posição de um cracker e simular uma intrusão que engane o sistema de segurança através da ruptura da criptografia geral.
O que poderia encontrar um pentest?
O teste de intrusão é uma solução preventiva para analisar todas as falhas que possam se apresentar no futuro e possam produzir um ataque malicioso que traga danos, principalmente em empresas. Sua solução de segurança corporativa parece estar funcionando bem, mas como ter certeza? Só mediante análises e auditorias.
É uma solução que terá vantagens a longo prazo e no futuro da sua empresa, porque já é um fato que os ataques estão aumentando. De acordo com a empresa Fortinet, só o Brasil sofreu mais de 1,6 bilhão de tentativas de ataques cibernéticos no primeiro trimestre do ano, de um total de 9,7 bilhões da América Latina.
Então sim, cabe falar que o pentest serve para se prevenir contra ataques que serão perfeitamente possíveis no futuro.
Como é que um pentest pode reduzir os riscos gerais das empresas?
Comecemos pelo fato que comentamos no início. Mesmo que uma empresa possua soluções de cibersegurança para se proteger, ela ainda pode apresentar brechas perigosas vulneráveis a serem descobertas por cibercriminosos. Então, fazer esse tipo de teste diminui as possibilidades dos criminosos descobrirem as falhas antes da própria empresa e fazer um acesso não autorizado.
Esse seria o argumento número 1, pois um cracker só pode atacar se ele encontrar brechas, caso contrário não tem como.
Em segundo lugar, precisamos fazer alusão à Lei Geral de Proteção de Dados (LGPD).
O tema da LGPD poderia parecer repetitivo, mas é que já não existe como não envolver essa lei em qualquer situação relacionada com segurança da informação daqui por diante.
Conforme previsto no art. 50 desta lei, é importante que todas as empresas comecem a implementar boas práticas de cibersegurança. Como boas práticas da cibersegurança estão contempladas atividades como treinamento dos funcionários, monitoramento contínuo do ciclo de vida dos dados, manter processos de segurança proativo e não reativos, respeitar a privacidade e desejos do usuário, capacidade de rastreamento dos dados sensíveis, fazer contínuas análises e demonstrações de que o ambiente está sendo monitorado, e aqui onde queremos fazer uma pausa.
Um teste de intrusão entra como boa prática de cibersegurança porque é uma análise profunda que se faz na rede de uma empresa. Se o teste não dá resultados de possíveis brechas ou se as brechas que aparecem nos resultados após o teste são corrigidas e mesmo assim a empresa sofre um ataque depois, as multas e sanções serão muito menores, pois existe a possibilidade de demonstrar que a empresa estava preocupada e comprometida com a sua segurança e fez análises e testes.
Existem alguns documentos que servem para melhorar a cibersegurança a partir de frameworks (recomendações para que sejam aplicados princípios) e controles. Como por exemplo E-ping ou ABNT NBR ISO/IEC.
Veja o Guia de boas práticas da LGPD, publicado oficialmente pelo governo do Brasil em agosto do ano de 2020.
Funcionamento do Pentest
A explicação de como funciona este tipo de teste é relativamente simples. Trata-se de uma ferramenta em que os pentesters (nome das pessoas que aplicam esta análise) irão procurar ativamente qualquer brecha de segurança. No momento em que eles encontrarem alguma brecha, tirarão provas de que ingressaram na rede sem autorização. A partir daí, será elaborado um relatório que servirá como base para fazer correções seguindo a ordem das prioridades. Basicamente é isso, mas claro que existe todo um processo por trás que não é tão simples.
Além disso, existem dois tipos de testes: black box, white box e grey box (logo falaremos com maior profundidade de cada um), e os três possuem um objetivo final diferente.
Se quiser um guia mais detalhado do processo de pentest, clique aqui.
Qualquer empresa pode fazer um pentest?
Sim, qualquer empresa pode e deveria fazer um pentest, só que na prática geralmente são as empresas com alto capital as que o realizam, devido ao fato de ser um procedimento não tão econômico.
Além disso, existem três formas de realizar um pentest:
- Quando se contrata uma empresa consultora que oferece o serviço terceirizado de realização de um teste de intrusão em outras empresas
- Quando as empresas possuem um departamento de TI grande e contam com sua própria equipe interna de pentesters dentro do seu time.
- Quando realizam alternam entre as duas opções anteriores, possuem sua própria equipe interna de TI, mas também contratam serviços terceirizados como apoio.
Então, fazer ou não fazer um teste de intrusão?
No final dependerá muito dos objetivos da empresa, do seu tamanho e capacidade aquisitiva, mas não restam dúvidas de que é uma excelente recomendação para quem quer saber se está completamente seguro e quer se adequar à LGPD.
Repassando alguns dos pontos favoráveis de fazer um pentest:
- Teste de Controles e implementações;
- Conformidade com normas de segurança (exemplo: PCI-DSS);
- Melhoria no atendimento a requisitos impostos pela lei da LGPD;
- Zelo pela reputação da empresa;
- Redução de riscos que podem gerar prejuízos.
- Explora a vulnerabilidade e mede o impacto;
- Possibilita encontrar vulnerabilidades não conhecidas;
- Informações concretas através do relatório;
- Validar se a postura de segurança da corporação está adequada para lidar com ameaças atuais;
- Mistura testes automatizados com testes manuais.
E alguns resultados inegáveis que podem ser obtidos após a conclusão do teste são:
- Comprovar o impacto do risco;
- Tomar melhores decisões e investir corretamente em segurança;
- Melhorar os controles e mecanismos de defesa;
- Se antecipar a ataques futuros.
Alus IT Security pode oferecer uma orientação na aplicação de testes de intrusão, clique aqui e receba maiores informações
