Ameaças, Vulnerabilidades e Auditorias.

Anualmente, a grande maioria das empresas passam por auditorias externas e esse processo não e nada simples nem agradável, pelo menos é o que a grande maioria dos envolvidos afirmam. Primeiro, pelo fato da relevância para o negócio, normalmente as auditorias fazem com que as atividades do dia a dia, ou as que estavam programadas para o período, sejam postergadas e toda a prioridade é dada para as entregas dos relatórios para os auditores, que normalmente tem um período curto de atuação . Avaliando alguns relatórios publicadas em 2016 sobre ameaças, destaco uma informação importante e que, grande parte das empresas, não se atentam aos detalhes . Os relatórios apontam que a grande maioria das ameaças identificadas são as vulnerabilidades no ambiente de infraestrutura, sejam elas por uma porta mal configurada no firewall, um switch sem o último pack de atualização , um sistema operacional sem as atualizações de segurança e vários outros apontados, mas que, em grande parte são vulnerabilidades de baixa e média criticidades que com uma apenas uma atualização, pode solucionar uma quantidade enorme de ativos envolvidos O que chama a atenção dos relatórios, são as vulnerabilidades de alta criticidade e onde são identificadas estas ameaças! E o mais espantoso de tudo é que, apesar desses relatórios serem disponibilizados na internet, a grande maioria das empresa não tem braço nem atenção suficientes e quando as auditorias entregam os resultados, nada há de novo, só o que todos já tem conhecimento ! Sim, as aplicações são apontadas, nestes relatórios, como sendo o ativo em que mais ameaças e vulnerabilidades de alta criticidade são identificados sejam em validação de dados incorretos, testes de autorizações incompletos, testes de autenticações com falhas, utilização de protocolo inseguro, lógica de negócios inconsistentes, desatualizações e dados não criptografados. Para mitigar esse problema a adoção de uma Política de Desenvolvimento de Aplicações, válida para desenvolvedores internos ou terceiros, pode minimizar os riscos de uma interrupção nos seus negócios e que seja publicada e de conhecimento de todos e que seja também complementada com auditorias internas de aceite nas entregas das aplicações, com essa pequena adoção evitamos que as auditorias externas, apontem as não conformidades, que apontem, mas que sejam as de baixa e médias criticidades.

Política de Desenvolvimento de Aplicações, adote, e mitigue seus riscos antes que alguém faça por você!!!