[Segurança] Ninguém passa fome fazendo o arroz com feijão

"Ninguém passa fome fazendo o arroz com feijão" - com essa frase, o meu amigo Gustavo "Riva" resumiu muito bem um dos principais problemas que assolam a área de segurança: a maioria das empresas não segue nem mesmo a relação mínima de boas práticas de segurança, o que faz com que sejam alvo fáceis e constantes de ciber ataques.

Parte desse motivo tem a ver com dois fatores, em minha opinião. Primeiro, há aquele pensamento de que "isso nunca vai acontecer comigo" - ou seja, os executivos das empresas acham que não serão alvos de um ciber ataque. Segundo, como disse muito bem o professor Stuart Madnick, do MIT, "Há um problema de modelo mental. Quando uma pessoa está montando algo, seja um prédio ou um software, essa pessoa pensa em como essa estrutura deve ser utilizada para o bem e não todas as maneiras como essa estrutura pode ser mal-utilizada." Os atacantes, por outro lado, só pensam nas formas de utilizar uma estrutura para o mal.

E lista de boas práticas é o que não faltam em nosso mercado! Do mais específico, como os famosos "Top 10" da OWASP, até as recomendações mais completas do NIST, ISO, CSA - para citar só alguns.

E o que poderia ser o arroz-com-feijão? Que tal começar com coisas como...

• Manter o ambiente sempre atualizado: versões de ferramentas e sistemas operacionais, patches, assinaturas de vírus e ataques;
• Controles básicos de perímetro;
• Controles básicos de segurança de aplicação;
• Uso de Autenticação forte e mecanismos de Controle de acesso;
• Logs
• Monitoramento constante.

Muitas vezes a empresa não precisa investir em soluções caras e complexas. Na minha opinião, o mais importante é ter um bom uso do que você já tem! Um time competente que conhece e sabe usar a tecnologia! Ou seja, é melhor utilizar uma ferramenta básica, ou open source, por exemplo, mas muito bem configurada, do que investir muito dinheiro em uma ferramenta líder de mercado e que não vai ser administrada, monitorada e devidamente ajustada para o seu ambiente.