Suas aplicações são seguras?

Conheça a Conviso!

Segurança por Reputação

Trabalhando com segurança da informação a alguns anos e consultando alguns números[1][2] é fácil concluir que a dupla Oracle e SAP são quase unanimidade em grandes empresas. A base instalada destes produtos é numerosa e de vital importância, afinal eles suportam operações críticas de seus clientes.

Este fato já não surpreende, mas o que impressiona é o número de profissionais que acredita que por ter comprado um produto com uma marca forte e referência no seu segmento ele é seguro, não necessita de avaliações e cuidados com a sua segurança.

Estes produtos gozam de uma característica que eu chamo de Segurança por Reputação, afinal ninguém testa, ninguém avalia, mas todo mundo confia.

A cada dia as estatísticas provam que esta confiança coloca grandes empresas em risco. Afinal o número de vulnerabilidades para estas plataformas só aumenta conforme o gráfico 1 que apresenta as falhas descobertas nos últimos anos em soluções da SAP. E o investimento em segurança de verdade não acontece. Uso a expressão segurança de verdade, pois as empresas acreditam estar investindo em segurança, afinal gastam valores altíssimos em revisões de perfis realizadas por auditores de empresas especializadas.


Gráfico 1 – Fonte Fonte http://erpscan.com/publications/sap-security-in-figures-a-global-survey-2007-2011/



Acontece que estas análises não focam em identificar falhas na solução e sim em validar regras de negócio. A revisão das regras de negócio é necessária, mas não irá identificar e ajudar a corrigir as falhas na plataforma e na sua configuração. As estatísticas mostram que 69% das falhas da SAP são críticas e devem ser corrigidas com prioridade conforme o gráfico 2. 


Gráfico 2 – Fonte http://erpscan.com/publications/sap-security-in-figures-a-global-survey-2007-2011/

Como os ambientes podem estar seguros se existe uma máxima que não se aplica atualizações em ambiente SAP porque ele é crítico para empresa?


Falando da Oracle, a situação não é diferente. Os números também não são animadores, conforme o gráfico 3 que apresenta o número de vulnerabilidades por ano.




Gráfico 3 – Fonte http://www.cvedetails.com/vendor/93/Oracle


Para aumentar o nível de segurança destes ambientes é necessário um investimento em análises de vulnerabilidades técnicas e testes de invasão que irão validar se o ambiente está adequadamente configurado e possui todas as atualizações de segurança necessárias. De posse destas análises as empresas poderão desenvolver planos de ações para corrigir estas vulnerabilidades e adotar uma arquitetura que seja segura e adequada a sua característica.
Não confie nos produtos que você adquire. Independente da empresa e do valor pago, invista em análise e conhecimento do seu ambiente.

1 – http://exame.abril.com.br/negocios/empresas/noticias/lucro-da-oracle-cresce-7-5-no-4o-trimestre-2/
2 – http://computerworld.uol.com.br/negocios/2012/07/24/receita-da-sap-cresce-12-no-segundo-semestre/

Originalmente postado no Blog da Conviso Application Security – Siga-nos no Twitter @conviso Google+

Tags

Deixe um comentário

topo
%d blogueiros gostam disto: