Sua empresa realiza uma gestão de vulnerabilidade de TI eficaz?

A segurança da informação é um dos pilares fundamentais para a proteção das organizações e, dentro desse contexto, garantir que não haja vulnerabilidades é essencial, ou seja, qualquer falha ou deficiência presente em qualquer componente de Tecnologia da Informação pode se tornar um vetor de ataque, expondo a companhia a riscos significativos se não for corrigido.

As vulnerabilidades devem ser tratadas com a seriedade que merecem, uma vez que representam uma ameaça crítica para as empresas. Para se ter uma ideia, uma pesquisa nacional sobre maturidade em gestão de crises e continuidade de negócios no Brasil publicada neste ano mostra que os incidentes de TI estão no topo dos riscos das empresas. Acessos indevidos e ataques ransomwares são os principais incidentes apontados pelas empresas.

Por isso, é imprescindível que a gestão de segurança considere não apenas a parte tecnológica, mas também os processos e as pessoas envolvidas, ou seja, é preciso ter uma visão holística para mitigar os riscos.

A principal importância nessa abordagem dinâmica reside na na conscientização dos funcionários, que desempenham um papel crucial na segurança, especialmente em um ambiente de trabalho remoto. Com o home office, as pessoas estão constantemente transitando entre o trabalho e o lar, transportando informações que precisam ser protegidas com cuidado redobrado.

No relatório Panorama de Ameaças de 2023, realizado pela Qualys, quase 30 mil vulnerabilidades foram contabilizadas, sendo que 25% delas tiveram formas de exploração desenvolvidas no mesmo dia. Isso evidencia quão crítica é a situação, uma vez que dispositivos como smartphones podem ser rapidamente comprometidos por agentes mal-intencionados.

Diante desse cenário, o programa de gestão de vulnerabilidades deve ser adotado como uma responsabilidade coletiva, abrangendo todos os níveis de colaboradores da organização. Todos devem estar engajados na manutenção da segurança, seja aplicando operações, modificando código ou simplesmente reiniciando uma máquina.

Diretrizes para o processo

Para começar, a gestão deve realizar o inventário de ativos, mapeando tudo o que está conectado à rede, tanto dentro quanto fora dela. Desde a pandemia, os ativos de TI se descentralizaram, e a gestão precisa incluir não apenas servidores, notebooks e smartphones, mas também impressoras, sistemas e bancos de dados.

Vale ressaltar que esse mapeamento deve ser preciso, abrangendo até mesmo componentes que, à primeira vista, possam parecer inofensivos, como drivers de impressoras. Lembre-se que um detalhe ignorado pode se tornar uma porta de entrada para ataques. Reuniões regulares devem ocorrer para revisar o inventário e garantir que todos os dispositivos com endereço IP estejam homologados e livres de vulnerabilidades. Embora não exista uma abordagem única que se aplique a todas as empresas, é comum adotar uma estratégia faseada. Diferente da distribuição de atualizações para estações de trabalho, nos servidores o processo é gradual, começando em ambientes de QA (Quality Assurance) e seguindo para desenvolvimento, homologação e, por fim, produção. Quando uma nova vulnerabilidade é descoberta, o mapeamento prévio permite uma resposta rápida e eficaz, mesmo antes do fornecedor lançar uma correção oficial, conseguindo evitar casos de "zero day", por exemplo.

Infelizmente, muitas empresas ainda não realizam a gestão de vulnerabilidades de forma adequada, utilizando métodos manuais e planilhas compartilhadas que muitas vezes não refletem o inventário real. O ideal é contar com agentes automatizados rodando nos servidores e escaneamentos que mapeiam a rede, garantindo um resultado preciso. Isso não apenas facilita o processo, mas fortalece toda a segurança da empresa.

Em resumo, a gestão de vulnerabilidades é uma prática indispensável para a proteção das organizações. Ela exige um compromisso contínuo de todos os envolvidos, uma visão abrangente e o uso de ferramentas adequadas para garantir a segurança dos ativos e a integridade das operações empresariais.

*Adenilson Boccato é gerente de cibersegurança na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

Sobre a Protiviti

A Protiviti é uma empresa global, com 85 escritórios em 25 países, e mais de 7.000 profissionais que atendem a 60% das empresas da FORTUNE 1000®. Reconhecida como Great Place To Work e com faturamento anual superior a USD 1,5 bilhão, atua por meio de uma rede de subsidiárias e firmas-membro independentes. No Brasil ela é representada pela ICTS, uma empresa brasileira de consultoria empresarial que combina a ampla experiência e serviços especializados em gestão de riscos, compliance, ESG, cybersecurity, privacidade, auditoria interna e investigação empresarial.

A união de deep expertise, com a capacidade de transformação e excelência na execução, proporciona aos nossos clientes soluções que endereçam os principais riscos, problemas e desafios de negócio, protegendo e maximizando o valor das organizações.

Reconhecidos com o selo Pró-Ética desde 2015, contamos no Brasil com cerca de 200 profissionais e servimos a mais de 1.000 clientes, incluindo 58% dos 200 maiores grupos empresariais do Brasil¹, a partir dos nossos escritórios em São Paulo, Rio de Janeiro, Belo Horizonte e Barueri.