Suas aplicações são seguras?

Conheça a Conviso!

Análise X gestão de vulnerabilidades: entenda a diferença

Um estudo de previsões do Gartner para 2016 aponta que o ambiente de ameaças contemporâneo está se ampliando com o avanço da TI tradicional e da bimodal – prática de gestão de dois modos distintos, coerentes de entrega de TI, um centrado na estabilidade, e outro sobre a agilidade. As organizações, acredita o Gartner, devem preparar-se para avaliar melhor os serviços e as ferramentas de segurança e devem praticar efetivamente a gestão de vulnerabilidades.

No entanto, é muito comum os profissionais da área de segurança da informação confundirem análise de vulnerabilidades com gestão de vulnerabilidades, utilizando-os como sinônimos ou trocando suas definições. Entretanto, estes são dois conceitos que não podem ser confundidos.

A ideia, neste artigo, é conceituar esses dois pontos de vista e demonstrar a importância deles. Acompanhe!

— Leia também: 5 recursos fundamentais para aumentar a segurança da informação das empresas

O que é análise de vulnerabilidades?

A análise de vulnerabilidades, também chamada de avaliação, é um ponto único em atividade e tempo que descobre falhas de segurança no software e/ou elementos de hardware que estão sendo avaliados.

Normalmente, mas não sempre, avaliações de vulnerabilidade são realizadas de forma automatizada. Existem vários tipos de avaliações que variam de avaliações de rede, de aplicativos web, e até mesmo avaliação de código de software. Mas, de novo, todos esses diferentes tipos de avaliações são conduzidos a um dado ponto no tempo, que pode abranger dias ou mesmo semanas, mas a noção essencial é que uma dada avaliação é um compromisso.

Uma organização que recebe a informação recolhida a partir de uma análise de vulnerabilidades provavelmente vai querer tomar medidas com base nas conclusões. Por exemplo, a organização pode querer correlacionar as vulnerabilidades identificadas com o conhecimento de explorar a disponibilidade, a arquitetura de segurança e as ameaças do mundo real. Uma organização provavelmente fará tentativas para remediar algumas das vulnerabilidades identificadas, cobrando ações da equipe de TI.

Quando as análises são feitas esporadicamente, dizemos que não há na empresa uma gestão de vulnerabilidades.

— Leia também: Tecnologia e segurança: 4 tendências que serão parte da rotina das empresas

O que é gestão de vulnerabilidades?

Gestão de vulnerabilidades é um processo que inclui análises de vulnerabilidade em curso, realizada em intervalos de tempo regulares. Em alguns casos, o intervalo de tempo é “contínuo”, ou seja, logo que uma avaliação é completada, imediatamente é repetida.

Com a gestão de vulnerabilidades, as avaliações são repetidas, e o objetivo é determinar o que mudou desde a última avaliação. Fazemos isso a fim de medir o progresso (ou falta de progresso) e também para avaliar os riscos em uma base contínua, de modo a mantê-los em um nível que esteja de acordo com a política de segurança da empresa.

Muitas estruturas de conformidade de segurança da informação, auditoria e gestão de riscos exigem que as organizações mantenham um programa de gestão de vulnerabilidades.

Há quatro processos de alto nível que abrangem a gestão de vulnerabilidades: descoberta, relatórios, priorização e resposta. Cada processo, e subprocessos dentro dele, precisa ser parte de um ciclo contínuo focado em melhorar a segurança e reduzir o perfil de risco.

Em resumo: análise de vulnerabilidade é parte da gestão de vulnerabilidade. Quando são feitas análises esporádicas, não se pode afirmar que é um processo de gestão de vulnerabilidades, pois esta exige análises e ações constantes.

— Leia também: 4 dicas para treinar a equipe para o gerenciamento das vulnerabilidades

Entendeu a diferença entre esses dois importantes conceitos? Se tiver mais alguma dúvida, deixe nos comentários!

 

Tags

Deixe um comentário

topo
%d blogueiros gostam disto: