Pentest: Zero ataques e conformidade com a LGPD

As vulnerabilidades existem, o problema é se sua empresa já as identificou. Estamos falando de um teste cuja função é realizar uma auditoria na administração das redes corporativas. Está sua empresa realmente segura?

Mesmo com soluções de segurança, sua empresa corre o risco de ter vulnerabilidades não identificadas e que só um pentest poderá identificar, pois esse tipo de teste tem como objetivo se colocar na posição de um cracker e simular uma intrusão que engane o sistema de segurança através da ruptura da criptografia geral.

Estamos falando de tempo futuro? 

Poderia se dizer que sim. O teste chegou como solução preventiva, para analisar todas as falhas que possam se apresentar no futuro e possam produzir um ataque malicioso que traga danos, principalmente em empresas. Sua solução de segurança corporativa parece estar funcionando bem, mas como ter certeza? Só mediante análises e auditorias.

Estamos falando de futuro sim, porque já é um fato que os ataques estão aumentando. De acordo com a empresa Fortinet, só o Brasil sofreu mais de 1,6 bilhão de tentativas de ataques cibernéticos no primeiro trimestre do ano, de um total de 9,7 bilhões da América Latina.

Então sim, cabe falar que o pentest serve para se prevenir contra ataques que serão perfeitamente possíveis no futuro.

Como é que um pentest pode reduzir os riscos gerais das empresas?

Comecemos pelo fato que comentamos no início. Mesmo que uma empresa possua soluções de cibersegurança para se proteger, ela ainda pode apresentar brechas perigosas vulneráveis a serem descobertas por cibercriminosos. Então, fazer esse tipo de teste diminui as possibilidades dos criminosos descobrirem as falhas antes da própria empresa e fazer um acesso não autorizado.

Esse seria o argumento número 1, pois um cracker só pode atacar se ele encontrar brechas, caso contrário não tem como.

Em segundo lugar, precisamos fazer alusão à Lei Geral de Proteção de Dados (LGPD).

O tema da LGPD poderia parecer repetitivo, mas é que já não existe como não envolver essa lei em qualquer situação relacionada com segurança da informação daqui por diante.

Conforme previsto no art. 50 desta lei, é importante que todas as empresas comecem a implementar boas práticas de cibersegurança. Como boas práticas da cibersegurança estão contempladas atividades como treinamento dos funcionários, monitoramento contínuo do ciclo de vida dos dados, manter processos de segurança proativo e não reativos, respeitar a privacidade e desejos do usuário, capacidade de rastreamento dos dados sensíveis, fazer contínuas análises e demonstrações de que o ambiente está sendo monitorado, e aqui onde queremos fazer uma pausa.

Um teste de intrusão entra como boa prática de cibersegurança porque é uma análise profunda que se faz na rede de uma empresa. Se o teste não dá resultados de possíveis brechas ou se as brechas que aparecem nos resultados após o teste são corrigidas e mesmo assim a empresa sofre um ataque depois, as multas e sanções serão muito menores, pois existe a possibilidade de demonstrar que a empresa estava preocupada e comprometida com a sua segurança e fez análises e testes.

Existem alguns documentos que servem para melhorar a cibersegurança a partir de frameworks (recomendações para que sejam aplicados princípios) e controles. Como por exemplo E-ping ou ABNT NBR ISO/IEC.

Veja o Guia de boas práticas da LGPD, publicado oficialmente pelo governo do Brasil em agosto do ano de 2020.

Veja e baixe aqui.

Funcionamento do Pentest

A explicação de como funciona este tipo de teste é relativamente simples. Trata-se de uma ferramenta em que os pentesters (nome das pessoas que aplicam esta análise) irão procurar ativamente qualquer brecha de segurança. No momento em que eles encontrarem alguma brecha, tirarão provas de que ingressaram na rede sem autorização. É elaborado um relatório que será a base para fazer as correções. Basicamente é isso, mas claro que existe todo um processo por trás que não é tão simples.

Além disso, existem dois tipos de testes: black box, white box e grey box (logo falaremos com maior profundidade de cada um), e os três possuem um objetivo final diferente.

Qualquer empresa pode aplicar?

Qualquer empresa pode aplicar este tipo de teste, mas geralmente são as empresas grandes e com alto capital as que realizam, devido ao fato do procedimento não ser tão econômico.

Além disso, existem dois tipos de empresas: As empresas consultoras que aplicam este teste em outras empresas, e as empresas que possuem um departamento de TI grande e que contam inclusive com pentesters dentro do seu time, neste segundo caso são as próprias empresas as que compram uma solução e aplicam.

Então, fazer ou não fazer?

No final dependerá muito dos objetivos da empresa, do seu tamanho e capacidade aquisitiva, mas não restam dúvidas de que é uma excelente recomendação para quem quer saber se está completamente seguro e quer se adequar a LGPD.

Repassando alguns dos pontos favoráveis de fazer um pentest:

  • Teste de Controles e implementações;
  • Conformidade com normas de segurança (exemplo: PCI-DSS);
  • Melhoria no atendimento a requisitos impostos pela lei da LGPD;
  • Zelo pela reputação da empresa;
  • Redução de riscos que podem gerar prejuízos.
  • Explora a vulnerabilidade e mede o impacto;
  • Possibilita encontrar vulnerabilidades não conhecidas;
  • Informações concretas através do relatório;
  • Validar se a postura de segurança da corporação está adequada para lidar com ameaças atuais;
  • Mistura testes automatizados com testes manuais.

E alguns resultados inegáveis que podem ser obtidos após a conclusão do teste, por exemplo:

  • Comprovar o impacto do risco;
  • Tomar melhores decisões e investir corretamente em segurança;
  • Melhorar os controles e mecanismos de defesa;
  • Se antecipar a ataques futuros.

Alus IT Security pode oferecer uma orientação na aplicação de testes de intrusão, clique aqui e receba maiores informações

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima
Podemos ajudá-lo