Blog da AuditSafe, participe!

 

 

 

 

PenTest:
O que é, pra que serve e com qual frequência deve ser feito?

De: Fernando Ferreira, CEO da AuditSafe

Data: 19/07/2018

Quando foi a última vez que você fez um PenTest na sua organização? Ele foi realizado por uma equipe especializada?

 

O fato é que por mais que você tenha uma equipe de Tecnologia ou Segurança na sua empresa, é essencial contar com uma empresa especializada para realizar os testes de intrusão, principalmente por profissionais devidamente qualificados.

 

Em uma realidade onde empresas usam cada vez mais sistemas e aplicações, o PenTest se mostra fundamental para a estratégia de Segurança das organizações. Para se ter uma ideia, pesquisas revelam que empresas têm mais de 800 apps em uso (cerca de 20% a mais que o previsto) e, apesar de muitos deles terem bons recursos de proteção, alguns aplicativos contém vulnerabilidades e brechas capazes de comprometer os negócios das empresas.

 

É diante desse contexto que os testes de intrusão se mostram necessários. Eles auxiliam na elaboração de estratégias de proteção que garantem a confidencialidade, integridade e disponibilidade das informações e ambientes de processamento de dados, evitando vazamento e roubo de dados. 

 

A qualificação do profissional de PenTester

 

Aí você se pergunta: mas se eu tenho uma equipe boa de TI e SI, por que eu não posso pedir que eles façam um PenTest? Muitos das varreduras de redes comuns, confundidos com testes de intrusão, geram uma infinidade de falsos-positivos. Um profissional qualificado se certificará qual vulnerabilidade é realmente capaz de trazer algum risco real à empresa.

 

Esse profissional possui habilidades bastante específicas, que vão muito além do perfil técnico de quem, esporadicamente, faz as vezes de PenTester. Ele tem que ser autodidata e estar antenado com os principais fóruns de hacker para troca de informações, além de contar certificações internacionais, como Certified Ethical Hacker (CEH), Offensive Security Certified Proffesional (OSCP) e Certified Information Systems Security Professional‎ (CISSP).

 

Quando se fala em PenTest, o Gray Box é um dos mais comuns, pois os testes são iniciados às cegas e sem nenhuma informação do ambiente a fim de mapear e analisar as vulnerabilidades existentes. Em seguida, as credenciais são utilizadas para simular usuários internos legítimos (ex.: colaboradores) e verificar quais fraudes e brechas podem ser exploradas por um possível invasor.

 

Algumas instituições realizam testes constantemente antes de disponibilizarem serviços aos usuários. No entanto, é recomendável que a maior parte das organizações realize um ou dois testes por ano, na modalidade Gray Box, complementado por Scan/Varreduras trimestrais de vulnerabilidades.

 

A AuditSafe disponibiliza um time qualificado de profissionais que realizam PenTests em instituições de segmentos variados. Entre os serviços prestados estão o monitoramento dos ativos de infraestrutura, preparação de relatórios personalizados, interação humana para validação das vulnerabilidades e todo o apoio técnico dos nossos consultores na Gestão do Ciclo de Vida das Vulnerabilidades, do início ao fim da sua tratativa.

 

Para saber mais sobre o nosso serviço, clique aqui ou pergunte como nós podemos ajudá-lo no espaço abaixo.

 

 

 

 

 

Resolução No 4.658: o que você tem a ver com isso?

De: Fernando Ferreira, CEO da AuditSafe

Data: 10/07/2018

Espera-se que alguns dos novos quesitos de Segurança virem referência para a maioria das empresas, no entanto, instituições devem continuar investindo em trabalhos de Avaliação de Riscos de Cibersegurança em seus ambientes.

 

A nova Resolução No 4.658, publicada recentemente pelo Banco Central, foi vista com bons olhos pelos profissionais de Segurança como um todo. Ao estabelecer a necessidade das instituições financeiras em ter uma política de segurança cibernética, incluindo um plano de ação e de resposta a incidentes, bem como a definição dos requisitos para contratação de serviços em processamento e armazenamento de dados e de computação em nuvem.

 

Espera-se que alguns desses itens virem referência para outros setores além do setor financeiro.
 
As organizações que possuírem os processos de Segurança da Informação bem-estruturados terão mais facilidade para implementar o detalhamento dos controles exigidos pela referida resolução. 

 

Um aspecto importante da resolução 4.658, é que a instituição deverá nomear um diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de respostas a incidentes, além de reportar periodicamente sobre o andamento e tratamento das ações junto ao Banco Central.

 

Seguem algumas datas importantes previstas pela resolução que a instituição deve ficar atenta:
 
•    03/10/2018 - Data limite para apresentação do Plano de Adequação

•    06/05/2019 - Data limite para Elaboração e Aprovação da Política de Segurança Cibernética

•    31/12/2019 e 31/03/2020 - Data base e de limite para apresentação do 1º relatório anual

•    31/12/2021 - Data limite para adequação às diretrizes da resolução
 
Em virtude desse cenário, a AuditSafe tem sido contatada frequentemente como prestadora de serviços para avaliar o ambiente tecnológico dessas instituições de modo a avaliar sua aderência dos controles estabelecidos por essa resolução.

 

Tais serviços, incluem, por exemplo, analisar o nível de maturidade de processos, pessoas e das tecnologias existentes; identificar as fragilidades nos controles e exposição dos riscos atuais; e elaborar os planos de ação para correção e mitigação dos riscos de acordo com as necessidades de negócios.

 

Saiba mais.