As regulamenta

Enquanto as empresas que mantém uma estratégia sólida de gerenciamento de riscos têm facilidade em passar nas auditorias regulatórias, as que adotam o processo inverso dificilmente conseguem garantir a segurança dos negócios. Neste artigos procuro levantar e discutir alguns dos principais erros cometidos pelas empresas “baseadas” em regulamentações e como elas deveriam proceder para realmente melhorar sua postura de segurança.


O primeiro e principal problema enfrentado pelas empresas baseadas em regulamentações deve-se ao fato de que as entidades regulamentatórias, sejam elas públicas ou privadas, devem levar em consideração que diferentes empresas possuem diferentes necessidades e capacidades e, ao elaborar as regras, as mesmas devem servir para todos os diferentes tipos de empresas afetadas, o que as torna muito genéricas. Tomemos como exemplo o requisito 6.6 do PCI, uma das mais objetivas regulamentações em uso atualmente, que diz, resumidamente, que as empresas devem proteger suas aplicações web contra ataques conhecidos e endereçar novas ameaças e vulnerabilidades no dia-a-dia, utilizando um web application firewall ou a análise de vulnerabilidades na aplicação anualmente e quando ela sofrer alterações.


Analisando este requisito, notamos claramente que a preocupação de quem o redigiu é garantir que as aplicações disponibilizadas na web não se tornem pontos de entrada de ataques, visando à obtenção de informações dos cartões de crédito dos clientes, tema central do PCI. Entretanto, por ter de levar em consideração que diferentes empresas, com diferentes necessidades e capacidades deverão estar aptas a implementá-lo, o requisito acaba sendo muito genérico, fato que é comprovado pelo procedimento de teste para verificação do atendimento do requisito, que solicita apenas que o auditor verifique que um web-application firewall esteja posicionado em frente as aplicações publicadas na internet, para deter e prevenir ataques baseados em web.


Obviamente, é interesse de todas as empresas, com presença na Internet, proteger suas aplicações contra ataques que podem interromper seus negócios e prejudicar sua imagem, entre outras consequências. Uma empresa que trata seus canais de relacionamento com a devida seriedade entende esse risco, o analisa e mede, verificando então quais são as melhores contra-medidas. No caso específico do exemplo citado, do ponto de vista de segurança, todo o software desenvolvido deveria possuir requisitos e validações de segurança desenhados em seu ciclo de vida de desenvolvimento, de modo a permitir a criação e implantação de aplicações seguras. Obviamente, este processo é dispendioso e as empresas baseadas em regulamentação podem simplesmente subsituí-lo por uma caixa colocada na frente dos servidores e que pode ou não estar corretamente configurada.


Neste caso fica fácil perceber a distância entre melhorar a segurança do ambiente e estar adequado a uma regulamentação. É importante, para evitar isso, que as empresas não pulem as etapas de gerenciamento de risco no afã de passarem em uma auditoria, ou que se o fizerem, mantenham um registro disso e voltem ao tema logo após a auditoria.


*Cristiano Silverio é Solutions Architect Manager da Dimension Data, no Brasil.