Nos dias atuais existe uma grande discussão sobre todo o universo de segurança da informação, e alguns termos como análise de vulnerabilidade, análise de risco e testes de penetração (Penetration Test ou Pen Test), estão cada vez mais presente no dia a dia dos profissionais de T.I., e o entendimento desses termos ainda geram muita confusão.
Quando se fala de vulnerabilidades, também se fala dos riscos atrelados as vulnerabilidades e é exatamente isso que gera confusão quando se trata desse assunto. Então entender o que é risco é o primeiro passo para entender o que é vulnerabilidade.
O que é risco?
Os riscos são a possibilidade de perigo de danos ao dados que devem ser protegidos. O risco coloca sua organização em perigo nos termos de bens econômicos, físicos ou lógicos. Para chegar a um contexto aceitável para a sua organização usamos um processo denominado análise de risco.
A análise de risco compõe um processo maior, também conhecido como gerenciamento de risco. Com essa análise você tera uma visão dos riscos que sua organização está exposta, a seguir vamos falar rapidamente de algumas etapas que compõem o gerenciamento de riscos.
Liimitaremos nossa visão a área tecnológica, restringindo os pontos abordados apenas ao que diz respeito a TI. Pois por definição, os processos de gerenciamento de risco envolvem qualquer coisa que pode causar danos financeiros à sua organização, desde furtos, acidentes de trabalho, até fenômenos naturais catastróficos.
1 – Avaliação de Risco
O principal papel da avaliação de risco é conhecer o verdadeiro potencial das possíveis vulnerabilidades.
Com processos que tem como objetivo definir e avaliar, de uma forma sistemática, os riscos de segurança que envolvem recursos críticos da organização.
Nesta etapa é analisado o risco como um todo, com sua origem, probabilidade e possíveis consequências. Três perguntas base devem ser utilizadas nesse levantamento:
- O que pode acontecer?
- Qual a probabilidade de acontecer?
- Quais as consequências?
Com posse destas informações é possível avançar para o próximo passo. A Estimativa de Risco irá avaliar se o risco é ou não aceitável para a organização.
2 – Avaliação de Vulnerabilidade
Como parte principal do Gerenciamento de Riscos, a Avaliação de Vulnerabilidade, é o processo responsável por encontrar e verificar falhas em um ambiente de redes.
Após a identificação e avaliação dos riscos, você terá uma imagem do estado atual de exposição do seu ambiente de redes. Trata-se de um processo de identificação, remediação e reporte continuo dos resultados para que medidas possam ser tomadas, assim reiniciando todo o processo.
3 – Análise de Capacidade
Este passo é o processo responsável por revisar a capacidade. O termo “capacidade” é definido como a habilidade de indivíduos, organizações e sistemas em executar funções de maneira efetiva e sustentável.
Assim identificando falhas que devem ser preenchidas durante o processo de planejamento, neste ponto precisamos definir:
- Como pode ser feito?
- O que é preciso para fazê-lo?
Imagine se você deseja realizar uma análise de vulnerabilidade nos servidores internos da sua organização, antes é preciso verificar se possui a mão de obra especializada e as ferramentas necessárias para realizar a atividade, como por exemplo um analisador de protocolo.
4 – Análise de Vulnerabilidade
Sua principal atividade é o processo de identificação de falhas e vulnerabilidades conhecidas que o expõem a ameaças, essas falhas podem ser causadas por erros de programação, má configuração ou simplesmente falha humana.
A análise de vulnerabilidade mapeia todos os sistemas que possam conter falhas e vulnerabilidades, reportando esses resultados através de um relatório conclusivo.
A partir destas informações podemos tratar e mitigar as vulnerabilidades encontradas, tentando garantir maior segurança ao ambiente. O processo de Análise de Vulnerabilidade é suportado por diversas Ferramentas capazes de auxiliá-lo na identificação de vulnerabilidades.
Resultados e Conclusões
A análise de vulnerabilidade vai alimentar você sobre informações, muitas vezes desconhecidas, sobre sua rede como relação do que pode acontecer, com que frequência e a quão crítica é a consequência, somada a um relatório técnico detalhando de quais serviços e sistemas estão sujeitos a quais tipos de ameaça.
De pose dessas informações você será capaz de tirar conclusões sobre seu estado atual de exposição a ameaças da sua organização.
Assim você terá em mãos o conhecimento mais que necessário para traçar um plano de ação. Em seguida, basta colocar a mão na massa e partir para o próximo passo!