Open in app

Sign in

Write

Sign in

Operação Tapa Vulnerabilidade

Nichols Jasper
3 min readJul 17, 2019

Operação Tapa Buraco são consertos que as prefeituras realizam no asfalto após o surgimento de um buraco (cratera às vezes). Basicamente o asfalto velho é removido de toda a área ao redor do buraco, preenchendo-se então o local com asfalto novo e bola pra frente, o defeito por literalmente tapado. Ações deste tipo são comuns em várias cidades do país e ocorrem devido ao desgaste e deterioração que o asfalto sofre, como intempéries e condições climáticas adversas, excesso de tráfego de veículos, má execução do serviço, tecnologia de recapeamento defasada, etc. Enfim, o ponto que quero vincular com segurança é que tais medidas têm um efeito quase nulo a médio prazo, conforme diversas críticas a estas operações.

De forma geral, estas operações carecem de um planejamento que vá além do simples buraco, algo estratégico e que vislumbre benefícios duradouros. Conforme especialistas, não são considerados, entre outros:

  • Plano de Gestão da Manutenção Viária;
  • Adoção de tecnologias modernas de pavimentação;
  • Limitação de ônibus e caminhões em vias de tráfego intenso; e
  • Aumento de fiscalização.

O problema é tratado, portanto, de forma ad-hoc, de forma pontual e não holística. O que importa é tapar um buraco de cada vez. Dessa forma não se pensa profundamente em formas melhores de prevenção (como evitar que novos buracos apareçam), detecção (como identificar novos buracos ou serviços mal feitos) e resposta (atuação ligada às detecções). Você já notou isso dentro das iniciativas e processos de segurança da informação? A verdade é que o planejamento de segurança e a gestão de vulnerabilidades (não só técnicas, mas processuais e humanas) é ad-hoc na maioria das empresas. Não há um plano diretor de segurança sério (o que é diferente de existir um plano diretor) e as iniciativas são executadas isoladamente, de forma ad-hoc e muitas vezes com modelos tácitos de segurança. Isso ocorre quando, por exemplo:

  • Uma fraude reincide e gera impactos significativos e nesse momento todo mundo se pergunta por que está acontecendo de novo.
  • Vulnerabilidades relevantes encontradas em testes de segurança são subestimadas e os controles não são revisados.
  • Plataformas de segurança são adquiridas (custando milhões!) para atender um item de auditoria e depois são mantidas na tomada, mas completamente subutilizadas.
  • A área de SI descobre ou é avisada de uma nova lei ou regulamentação, demora a verificar sua conformidade e expõe a empresa a sanções.
  • Incidentes de segurança não tem suas lições aprendidas assimiladas e implementadas, se mantém o status quo com vulnerabilidades devido a controles frágeis ou ausentes e posteriormente novos incidentes similares acontecem.

Esses são exemplos de operações tapa vulnerabilidade, onde a área de segurança literalmente corre atrás do próprio rabo sem um direcionamento estratégico consistente. No mundo real, certamente “incêndios” vão ocorrer e o time de segurança terá de agir para saná-los, mesmo empresas maduras em segurança nos mostram isso diariamente. Há, porém, uma diferença abissal entre atuar pontualmente em incêndios e viver cotidianamente numa empresa em chamas, onde a “operação tapa vulnerabilidade” é constante, rotineira e parte do BAU da companhia. Além de altamente ineficiente, os profissionais que vivem nesse contexto logo ficam desgastados, afinal, é extremamente estressante estar exposto todo dia e com seu emprego em risco a todo momento, basta um movimento em falso (ou uma intrusão inoportuna) que é hora de sacar seu FGTS.

Para concluir, é importante dissociar conformidade de segurança. Quem faz segurança pode (e na maioria das vezes faz) entrar em conformidade com uma série de padrões e regulamentos, mas o oposto não é verdadeiro. Muitas organizações se contentam em manter conformidade e essa postura ingênua cobrará seu preço no momento de um incidente de segurança.

Que nossos estrategistas de segurança possam cada vez mais se valer das disciplinas basilares de análise de risco, gestão de vulnerabilidades (em seu sentido mais amplo) e modelagem de ameaças — entre outras — para tornar as ações de segurança cada vez mais científicas (não necessariamente exatas, mas racionais e lógicas, pois o fator humano sempre adiciona imprevisibilidade em segurança) e menos empíricas, porque, em segurança, as experiências dos outros e as melhores práticas de mercado podem ajudar bastante a robustecer as defesas da sua organização.

Segurança Da Informação
Cibersegurança
Gestão De Riscos

--

--

Nichols Jasper

Written by Nichols Jasper

42 Followers

Cybersecurity Specialist at Santander, Professor and Researcher at FATEC-SP | CISSP, SANS GDAT/GCDA, MBA

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams