Imagem por @titima037 / freepik
Ser o responsável pela segurança de aplicações web nos dias atuais pode ser o maior campo minado do ponto de vista da Segurança da Informação.
Isso se dá por muitas empresas estarem investindo pesado para atingir a conformidade com a Lei Geral de Proteção de Dados (LGPD).
No entanto, estão esquecendo que muitos destes dados são acessíveis por meio destas aplicações que, em sua maioria, estão com um labirinto de camadas, oferecendo um campo livre para vulnerabilidades.
Para piorar, as organizações precisam identificar e entender a superfície geral de ataque, com ciência exata dos pontos mais frágeis desta infraestrutura, mas costumam não ter estas informações.
É fato que grande parte das informações de identificação pessoal (PII) como nome, CPF, RG e dados financeiros são coletados e armazenados por essas aplicações.
Esses dados, mesmo antes da LGPD, já eram extremamente valiosos e protegidos por regulamentações específicas da indústria (financeiras, principalmente).
O não cumprimento, por exemplo, já resultava em multas pesadas, assim como a perda de confiança e danos incalculáveis à reputação da marca.
Conforme o Relatório de Inteligência de Ameaça Global (GTIR 2020), publicado neste ano pela NTT, em 2019, 55% de todos os ataques identificados foram uma combinação entre ataques de aplicações web e aplicações específicas.
Enquanto as organizações correm para realizar a adequação, discutem como será feita a gestão de consentimento, levantam local de armazenamento de dados e usam consultorias jurídicas para apoiá-los na estruturação, a porta destes aplicativos permanece escancarada, sem qualquer tipo de teste, monitoração ou preocupação.
As ações para garantir a proteção e a conformidade devem andar em conjunto. É importante entender a criticidade de suas aplicações e promover a segurança em todo o ciclo de sua vida, principalmente se são aplicações personalizadas, feitas pela sua organização ou por um terceiro, sob medida.
Para minimizar seus riscos, valide que suas aplicações web estejam sob os seguintes controles:
Os testes de aplicações em todo o ciclo de sua vida têm se mostrado bastante efetivos, quando aliados a um processo rigoroso de gestão de vulnerabilidades.
Com uma média que varia bastante, a indústria entende que os tempos para aplicar correções e consertar vulnerabilidades pode durar entre semanas e meses.
Essa exposição é suficiente para criar problemas e embrulhar o estômago de qualquer executivo mais avesso ao risco.
É por isso que soluções como testes de segurança de aplicações dinâmicos (DAST) e testes de segurança de aplicações estáticos (SAST) são fortes aliados.
Os testes dinâmicos funcionam em ambientes produtivos e detectam vulnerabilidades, reportando com alta eficiência o que está presente, eliminando boa parte dos falsos positivos e permitindo essa varredura de forma constante, agilizando o tempo para reparo.
Vemos que, quanto mais testes são realizados, menor se torna o tempo para consertar os problemas, o que diminui a janela de exposição.
Afinal, nenhum gestor de infraestrutura ou aplicação, por exemplo, quer receber o mesmo indicador vermelho por dois meses seguidos em um relatório, informando que seu time não fez o trabalho de mitigação correto. Infelizmente, isso acontece muitas vezes, porque há falta de visibilidade e controle.
Quando as reuniões se tornam regulares, assim como a cobrança por resultados, essas ações se tornam realidade e os esforços deixam de ser hercúleos para serem mais facilmente gerenciáveis e organizados.
Além disso, ao combinar os testes dinâmicos com os testes estáticos, o software feito em casa ou por terceiros já ganha robustez e segurança antes mesmo de entrar no ambiente produtivo, minimizando grandemente as falhas, agilizando também o tempo de correção (em quantidade) e economizando custos.
Afinal, é muito mais barato e eficiente consertar problemas relacionados à segurança ainda em código dentro do ambiente de desenvolvimento ou homologação.
Portanto, é essencial para as organizações localizar e compreender qualquer aspecto que possa ser explorado como ponto de entrada por um hacker experiente.
Por isso é importante a presença de um parceiro que conheça o cenário global de ataques e esteja disposto a acompanhá-lo em sua jornada de segurança, oferecendo os serviços necessários para que você atinja a maturidade e a conformidade com a LGPD do jeito certo.
Tudo isso não apenas com consultoria jurídica, mas com toda a proteção tecnológica para o consentimento, o armazenamento e o principal alvo, aplicações e seus dados. Afinal, empresas que investem em segurança, testam e preparam ostensivamente seu ambiente não podem ser acusadas de negligência.
Por Pedro Godoy é Solution Architect da NTT Ltd.
Nos siga no
Participe do nosso grupo no
Entenda melhor quem tem direito a receber a restituição do Imposto de Renda e quem…
O Concurso Nacional Unificado (CNU) é um das grandes oportunidades do atual governo para assumir…
Está com o celular da empresa ou desconfia que alguém está suando o aparelho corporativo…
A entrevista de emprego é o maior desafio para sua contratação ultimamente? Aprenda o que…
Chegou a hora de declarar o Imposto de Renda, mas será que todos e até…
Um erro de 25 anos atrás pode distribuir uma bolada para muitos segurados do INSS…
Se você é contador e está procurando concursos e oportunidades temporárias no serviço público, confira…
Escritórios de contabilidade podem falir por falhas de gestão financeira, tecnológica, de equipe e de…
Conheça algumas das melhores linhas de crédito disponíveis para o Microempreendedor Individual (MEI) e cuide…
Frei Gilson, líder religioso popular nas redes sociais, torna-se centro de polêmica política após declarações…
Pesquisa da CNC revela que o endividamento das famílias brasileiras atingiu 76,4% em fevereiro, com…
Entenda como funciona a declaração pré-preenchida do Imposto de Renda em 2025 e confira quais…
This website uses cookies.