Nos dias atuais existe uma grande discussão sobre todo o universo de segurança da informação, e alguns termos como análise de vulnerabilidade, análise de risco e testes de penetração (Penetration Test ou Pen Test), estão cada vez mais presente no dia a dia dos profissionais de T.I., e o entendimento desses termos ainda geram muita confusão.

Quando se fala de vulnerabilidades, também se fala dos riscos atrelados as vulnerabilidades e é exatamente isso que gera confusão quando se trata desse assunto. Então entender o que é risco é o primeiro passo para entender o que é vulnerabilidade.

O que é risco?

Os riscos são a possibilidade de perigo de danos ao dados que devem ser protegidos. O risco coloca sua organização em perigo nos termos de bens econômicos, físicos ou lógicos. Para chegar a um contexto aceitável para a sua organização usamos um processo denominado análise de risco.

A análise de risco compõe um processo maior, também conhecido como gerenciamento de risco. Com essa análise você tera uma visão dos riscos que sua organização está exposta, a seguir vamos falar rapidamente de algumas etapas que compõem o gerenciamento de riscos.

Liimitaremos nossa visão a área tecnológica, restringindo os pontos abordados apenas ao que diz respeito a TI. Pois por definição, os processos de gerenciamento de risco envolvem qualquer coisa que pode causar danos financeiros à sua organização, desde furtos, acidentes de trabalho, até fenômenos naturais catastróficos.

1 – Avaliação de Risco

O principal papel da avaliação de risco é conhecer o verdadeiro potencial das possíveis vulnerabilidades.

Com processos que tem como objetivo definir e avaliar, de uma forma sistemática, os riscos de segurança que envolvem recursos críticos da organização.

Nesta etapa é analisado o risco como um todo, com sua origem, probabilidade e possíveis consequências. Três perguntas base devem ser utilizadas nesse levantamento:

  • O que pode acontecer?
  • Qual a probabilidade de acontecer?
  • Quais as consequências?

Com posse destas informações é possível avançar para o próximo passo. A Estimativa de Risco irá avaliar se o risco é ou não aceitável para a organização.

2 – Avaliação de Vulnerabilidade

Como parte principal do Gerenciamento de Riscos, a Avaliação de Vulnerabilidade, é o processo responsável por encontrar e verificar falhas em um ambiente de redes.

Após a identificação e avaliação dos riscos, você terá uma imagem do estado atual de exposição do seu ambiente de redes. Trata-se de um processo de identificação, remediação e reporte continuo dos resultados para que medidas possam ser tomadas, assim reiniciando todo o processo.

3 – Análise de Capacidade

Este passo é o processo responsável por revisar a capacidade. O termo “capacidade” é definido como a habilidade de indivíduos, organizações e sistemas em executar funções de maneira efetiva e sustentável.

Assim identificando falhas que devem ser preenchidas durante o processo de planejamento, neste ponto precisamos definir:

Imagine se você deseja realizar uma análise de vulnerabilidade nos servidores internos da sua organização, antes é preciso verificar se possui a mão de obra especializada e as ferramentas necessárias para realizar a atividade, como por exemplo um analisador de protocolo.

4 – Análise de Vulnerabilidade

Sua principal atividade é o processo de identificação de falhas e vulnerabilidades conhecidas que o expõem a ameaças, essas falhas podem ser causadas por erros de programação, má configuração ou simplesmente falha humana.

A análise de vulnerabilidade mapeia todos os sistemas que possam conter falhas e vulnerabilidades, reportando esses resultados através de um relatório conclusivo.

A partir destas informações podemos tratar e mitigar as vulnerabilidades encontradas, tentando garantir maior segurança ao ambiente. O processo de Análise de Vulnerabilidade é suportado por diversas Ferramentas capazes de auxiliá-lo na identificação de vulnerabilidades.

Resultados e Conclusões

A análise de vulnerabilidade vai alimentar você sobre informações, muitas vezes desconhecidas, sobre sua rede como relação do que pode acontecer, com que frequência e a quão crítica é a consequência, somada a um relatório técnico detalhando de quais serviços e sistemas estão sujeitos a quais tipos de ameaça.

De pose dessas informações você será capaz de tirar conclusões sobre seu estado atual de exposição a ameaças da sua organização.

Assim você terá em mãos o conhecimento mais que necessário para traçar um plano de ação. Em seguida, basta colocar a mão na massa e partir para o próximo passo!