Perigo indetectado: O problema das falhas que nunca são notadas

Você sabia que pode estar há meses com uma falha de segurança sem saber?

Se eu fosse você, verificaria isso imediatamente – até porque esse tipo de situação não é incomum. Segundo alguns estudos, a média de tempo que uma falha de segurança pode ficar indetectada é de mais de 70 dias.

De novo: essa é a média que dados – senhas, logins, informações sigilosas – ficam à mercê de aproveitadores. E isso mesmo com o “cuidado” de empresas de TI.

Neste artigo, vou mostrar alguns motivos do porquê das empresas serem tão descuidadas – e o cuidado definitivo que você precisa tomar para que seu sistema de segurança online torne-se à prova de crimes.

Falhas eventuais ou falhas estruturais?

Quando falamos de cibersegurança, estamos falando de um sistema que se acostumou a ser falho por natureza. “Falha de segurança” é algo tratado quase que com normalidade tanto por clientes quanto por provedores de serviços.

Muitos experts dizem que, na realidade, as pessoas só se preocupam em cuidar das vulnerabilidades do sistema depois que a falha ocorre. O clássico “fechar a porta depois que ela foi arrombada”.

É tão tal que podemos fazer uma lista dos 10 problemas mais comuns de vulnerabilidades de sistemas. Na minha, ficariam as seguintes:

1. Exposição de dados sensíveis
2. Utilização de componentes com vulnerabilidades conhecidas
3. Falhas de injeção
4. Autenticação quebrada
5. XSS
6. CSRF
7. Referências de objeto diretas inseguras
8. Desconfiguração de segurança
9. Função de controle de acesso de nível faltante
10. Encaminhamentos e redirecionamentos inválidos

Não é impossível contornar esses dez problemas principais. A exposição de dados sensíveis pode ser prevenida com o uso de HTTPS e PSF em sites e haver compliance com as requisições PCI. O problema é que cada problema precisa ser solucionado por si mesmo: as empresas, em geral, não pensam numa solução holística e que abarque todos eles.

Mas isso é em geral.

A quem recorrer?

Solucionar esses problemas de um por um pode ser muito complicado. É preciso contratar equipes que resolvam o problema uma vez a cada rodada de trabalho. Isso pode tornar o problema ainda maior: a resolução é lenta e os gastos muito grandes.