São Paulo, julho de 2024 – A segunda edição da pesquisa “Barômetro da Segurança Digital”, encomendada pela Mastercard ao Instituto Datafolha, revelou que aproximadamente 64% das empresas no Brasil enfrentam fraudes e ataques digitais com frequência média ou alta.
Cada vez mais, as companhias precisam adotar boas práticas para uma gestão de vulnerabilidades eficaz, com mecanismos para proteger melhor seus ativos e sistemas contra ameaças cibernéticas.
Segundo a NAVA Technology for Business, empresa especializada em serviços e soluções de tecnologia, antes de iniciar o processo de tornar a empresa mais segura, alguns conceitos como vulnerabilidade, risco e ameaça devem ser compreendidos.
Vulnerabilidade é uma brecha em um sistema que pode ser explorada por um atacante, podendo resultar de problemas de código, má configuração ou erro humano. Risco envolve a probabilidade e o impacto de uma vulnerabilidade ser explorada, considerando a importância do ativo e a criticidade da falha. Ameaça é o agente ou evento que pode explorar a vulnerabilidade.
A gestão eficaz prioriza corrigir vulnerabilidades mais críticas e prováveis de serem exploradas, em vez de todas as vulnerabilidades identificadas. A NAVA elenca abaixo os cinco passos para atuar de forma priorizada:
1-Classificação de ativos e sistemas – a base de uma gestão de vulnerabilidades eficaz é a classificação adequada dos ativos e sistemas. Este passo inicial envolve a identificação e a categorização de todos os recursos tecnológicos da empresa, permitindo uma visão clara do que precisa ser protegido.
2- Descoberta de vulnerabilidades – utilizando ferramentas avançadas, a NAVA orienta as empresas a realizar varreduras em seus sistemas para identificar possíveis vulnerabilidades. Esta etapa é fundamental para detectar quaisquer falhas que possam ser exploradas por atacantes.
3- Common Vulnerability Scoring System (CVSS)- com as vulnerabilidades identificadas, o próximo passo é avaliá-las usando o CVSS, um sistema que atribui pontuações às vulnerabilidades com base na sua severidade. Este método ajuda a priorizar quais delas devem ser corrigidas com maior urgência.
4-Exploit Prediction Scoring System (EPSS) – para complementar o CVSS, o EPSS fornece uma previsão da probabilidade de uma vulnerabilidade ser explorada. Essa avaliação permite que as empresas concentrem seus esforços na mitigação de riscos que apresentam maior ameaça.
5- Correção das vulnerabilidades – fazer os ajustes necessários, seja por meio de atualizações, patches ou mudanças de configuração. Este passo é fundamental para garantir que as ameaças identificadas sejam neutralizadas eficazmente.
Fabiano Oliveira, Chief Technology Officer na NAVA, explica que é difícil estar 100% invulnerável, sendo prioritário corrigir os pontos de maior risco. “A iniciativa não se limita apenas a corrigir falhas. A abordagem deve ser contínua e envolve processos, pessoas e tecnologias. É complexo eliminar todas as vulnerabilidades, mas podemos focar nas que têm maior impacto para o negócio. A priorização é baseada no valor do ativo, na criticidade e na probabilidade de exploração.”
Negligenciar vulnerabilidades cibernéticas pode ter consequências graves, incluindo a exposição de dados sensíveis, adulteração de informações e indisponibilidade de sistemas. “O impacto mais difícil de recuperar é o dano à reputação da marca”, destacou Oliveira. A gestão de vulnerabilidades é um processo contínuo que deve ser adaptado às especificidades de cada negócio. “Assim como nos protegemos dos riscos gerais relacionados à nossa própria segurança, é preciso se atentar às vulnerabilidades tecnológicas e tomar medidas proativas para mitigá-las.”
“Um ponto importantíssimo, não tão complexo, mas muitas vezes não priorizado é o treinamento e capacitação dos usuários com relação aos temas e perigos da segurança cibernética”, comentou Oliveira. “O usuário do sistema é um dos elos mais frágeis dessa corrente de segurança, uma vez que, por ser quem utiliza as ferramentas, se ele não estiver consciente dos perigos e ameaças, pode ser ludibriado e colocar em risco mesmo o mais atualizado dos modelos de segurança”, concluiu Oliveira.