outubro 28, 2015

[Segurança] Como atingir a segurança perfeita em 3 passos simples

O Blog da empresa Veracode publicou recentemente um artigo longo, mas muito legal, com 3 dicas simples para tornar a segurança da sua empresa perfeita e, assim, evitar ser constantemente invadido.

Na área de segurança sempre dizemos que uma segurança 100% não existe, e até mesmo um nível ótimo de segurança pode ser ridiculamente difícil de ser alcançado, mesmo com um orçamento enorme. Mas será que empresas importantes, e frequentemente atacadas, não conseguem obter uma segurança perfeita?

As 3 dicas são as seguintes:
  1. Conheça os seus ativos: idenfifique os ativos de sua empresa, incluindo as ferramentas de segurança;
  2. Aplique as melhores práticas: Instale e configure o firewall, o software antivírus, firewall de aplicação web (WAF), um sistema de detecção de intrusão (IDS) e backup. Faça verificações regulares de vulnerabilidade, testes de penetração, e gerenciamento de patches. Também escreva uma política de segurança. E por aí vai...
  3. Seja invadido e comece a adotar boas práticas de gestão de segurança. Este é o trecho mais longo do artigo. Muito looooongo. Mas, resumidamente, o autor sugere que você sofra bastante lidando com uma invasão em sua rede (possivelmente para experimentar as dificuldades e stress que isto causa), para então começar a adotar uma metodologia para operação da área de segurança, a Open Source Security Testing Methodology Manual (OSSTMM). Ela permite revisar a arqiutetura do nosso ambiente para melhor nos proteger contra possíveis vulnerabilidades, conversando e trabalhando em conjunto com sua equipe de segurança, infraestrutura e de desenvolvimento. Ajude-os a entender os riscos e como podemos evitá-los e adotar boas práticas.

Parece simplista, mas a principal dica no artigo é mudarmos nossa postura: de reativa (apagando incêndios e respondendo a ataques), para preventiva: conhecendo nosso ambiente, seus riscos e trabalhando em conjunto com as outras equipes para ajudá-los a adotar práticas seguras.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.