Clique aqui para baixar o artigo em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler o relatório completo do SANS Institute sobre os principais riscos de segurança para as empresas.
Para ler esse artigo, clique no botão abaixo.
Os leitores atentos já devem ter percebido que faço muitos paralelos entre as questões de segurança corporativa, isto é, das empresas, e as mesmas questões sob o ponto-de-vista do usuário doméstico. Existe uma boa razão para isso, claro: nas corporações existem profissionais treinados para pensar em segurança durante todo o tempo em que estão trabalhando, e se o usuário doméstico conseguir adotar algumas das práticas desses profissionais, vai facilitar sua própria proteção. A atuação desses profissionais, aliás, é o que garante um pouco de sossego para toda a empresa, e o objetivo de meus comentários nesse sentido é transferir um pouco desse sossego responsável para o usuário. O fato é que quando traçamos o paralelo entre empresa e residência, podemos extrair boas práticas e contra-exemplos, que se observados pelo usuário doméstico podem ser de grande valia.
Hoje, contudo, vamos falar de uma atitude dos profissionais de segurança que não deveria ser seguida pelos usuários domésticos. A atitude em questão foi verificada pelo SANS Institute em um pesquisa publicada agora em Setembro, acerca dos principais riscos de segurança aos quais as empresas estão sujeitas.
A pesquisa do SANS Institute constatou o seguinte: as vulnerabilidades em sistemas operacionais não estão surgindo na mesma proporção que as vulnerabilidades em aplicações Web. Essas vulnerabilidades em aplicações Web surgem numa velocidade muito maior. Apesar dessa nova tendência as empresas gastam mais tempo e recursos para fechar as brechas em sistemas operacionais do que em aplicações. Não estamos dizendo aqui que o tempo e os recursos utilizados para mitigar as vulnerabilidades em sistemas operacionais devam ser reduzidas. Nem por parte dos profissionais de segurança nas empresas, e nem por parte do usuário doméstico. Não, de jeito nenhum. Foram necessárias décadas para que os executivos fossem convencidos que esses investimentos são fundamentais, para que a cultura das empresas fosse modificada para dar importância às atualizações, e para que os mecanismos de atualização chegassem ao ponto de eficácia em que estão hoje. Reduzir esses investimentos e esse estado de alerta seria um erro grave.
Mesmo assim as empresas já deveriam ter percebido essa mudança de ventos, por assim dizer, e feito os ajustes em suas estratégias e orçamentos. Qualquer passada d’olhos pelo noticiário de segurança hoje em dia mostra que para cada ameaça baseada em vulnerabilidades em sistemas operacionais (e os sistemas operacionais da Microsoft ainda lideram de longe o ranking), surgem três ou quatro ameaças baseadas em vulnerabilidades de aplicações que acessam a Web. Os browsers obviamente fazem parte dessa lista, mas os problemas não se limitam a eles. Para ficar só em alguns exemplos mais famosos, o Adobe Acrobat, o Apple QuickTime, a plataforma Java e o Windows Media Player: todos eles estão ou já estiveram na lista dos “top 20” em vulnerabilidades do SANS Institute. E o relatório mostra que as empresas não se preocupam tanto com as aplicações como se preocupam com os sistemas operacionais.
Bem, aquele antigo raciocínio de que a corrente sempre quebra no elo mais fraco também se aplica nesse caso, claro. E de nada adianta estar super protegido no sistema operacional se negligenciamos as aplicações. Em uma época em que grande parte das aplicações disponíveis para o usuário se comunicam com outras partes via Internet, não é nada recomendável deixar de atualiza-las ou mesmo deixar de ter cuidado com elas. E se os dados coletados pelo SANS Institute mostram que as empresas vêm cometendo esse erro, fica aqui o alerta para que o usuário doméstico pense com carinho na situação e aja de forma diferente. Fazer um pequeno inventário de suas aplicações e passar uma hora ou duas visitando os sites dos fabricantes em busca de atualizações é bastante recomendável. Tornar essa atividade uma prática periódica também.
Por fim, um esclarecimento: hoje eu trouxe o erro das empresas para o centro da discussão por dois motivos. O primeiro deles é mostrar que se todos precisamos melhorar nossas atitudes com relação à segurança, não estamos sozinhos: os profissionais de segurança das empresas também escorregam, e nesse caso o fazem de forma coletiva. O segundo motivo é criar uma oportunidade para que possamos por em prática um velho ditado: “inteligência é a capacidade de aprender com os próprios erros; sabedoria é a capacidade de aprender com os erros dos outros.”
Ajude-nos a melhorar os artigos desse site, deixando na sessão de comentários suas dúvidas, críticas e sugestões.
Até a próxima.
Hoje, contudo, vamos falar de uma atitude dos profissionais de segurança que não deveria ser seguida pelos usuários domésticos. A atitude em questão foi verificada pelo SANS Institute em um pesquisa publicada agora em Setembro, acerca dos principais riscos de segurança aos quais as empresas estão sujeitas.
A pesquisa do SANS Institute constatou o seguinte: as vulnerabilidades em sistemas operacionais não estão surgindo na mesma proporção que as vulnerabilidades em aplicações Web. Essas vulnerabilidades em aplicações Web surgem numa velocidade muito maior. Apesar dessa nova tendência as empresas gastam mais tempo e recursos para fechar as brechas em sistemas operacionais do que em aplicações. Não estamos dizendo aqui que o tempo e os recursos utilizados para mitigar as vulnerabilidades em sistemas operacionais devam ser reduzidas. Nem por parte dos profissionais de segurança nas empresas, e nem por parte do usuário doméstico. Não, de jeito nenhum. Foram necessárias décadas para que os executivos fossem convencidos que esses investimentos são fundamentais, para que a cultura das empresas fosse modificada para dar importância às atualizações, e para que os mecanismos de atualização chegassem ao ponto de eficácia em que estão hoje. Reduzir esses investimentos e esse estado de alerta seria um erro grave.
Mesmo assim as empresas já deveriam ter percebido essa mudança de ventos, por assim dizer, e feito os ajustes em suas estratégias e orçamentos. Qualquer passada d’olhos pelo noticiário de segurança hoje em dia mostra que para cada ameaça baseada em vulnerabilidades em sistemas operacionais (e os sistemas operacionais da Microsoft ainda lideram de longe o ranking), surgem três ou quatro ameaças baseadas em vulnerabilidades de aplicações que acessam a Web. Os browsers obviamente fazem parte dessa lista, mas os problemas não se limitam a eles. Para ficar só em alguns exemplos mais famosos, o Adobe Acrobat, o Apple QuickTime, a plataforma Java e o Windows Media Player: todos eles estão ou já estiveram na lista dos “top 20” em vulnerabilidades do SANS Institute. E o relatório mostra que as empresas não se preocupam tanto com as aplicações como se preocupam com os sistemas operacionais.
Bem, aquele antigo raciocínio de que a corrente sempre quebra no elo mais fraco também se aplica nesse caso, claro. E de nada adianta estar super protegido no sistema operacional se negligenciamos as aplicações. Em uma época em que grande parte das aplicações disponíveis para o usuário se comunicam com outras partes via Internet, não é nada recomendável deixar de atualiza-las ou mesmo deixar de ter cuidado com elas. E se os dados coletados pelo SANS Institute mostram que as empresas vêm cometendo esse erro, fica aqui o alerta para que o usuário doméstico pense com carinho na situação e aja de forma diferente. Fazer um pequeno inventário de suas aplicações e passar uma hora ou duas visitando os sites dos fabricantes em busca de atualizações é bastante recomendável. Tornar essa atividade uma prática periódica também.
Por fim, um esclarecimento: hoje eu trouxe o erro das empresas para o centro da discussão por dois motivos. O primeiro deles é mostrar que se todos precisamos melhorar nossas atitudes com relação à segurança, não estamos sozinhos: os profissionais de segurança das empresas também escorregam, e nesse caso o fazem de forma coletiva. O segundo motivo é criar uma oportunidade para que possamos por em prática um velho ditado: “inteligência é a capacidade de aprender com os próprios erros; sabedoria é a capacidade de aprender com os erros dos outros.”
Ajude-nos a melhorar os artigos desse site, deixando na sessão de comentários suas dúvidas, críticas e sugestões.
Até a próxima.
Nenhum comentário:
Postar um comentário