Segurança de Aplicação

Segurança por Reputação

Trabalhando com segurança da informação a alguns anos e consultando alguns números[1][2] é fácil concluir que a dupla Oracle e SAP são quase unanimidade em grandes empresas. A base instalada destes produtos é numerosa e de vital importância, afinal eles suportam operações críticas de seus clientes.

Este fato já não surpreende, mas o que impressiona é o número de profissionais que acredita que por ter comprado um produto com uma marca forte e referência no seu segmento ele é seguro, não necessita de avaliações e cuidados com a sua segurança.

Estes produtos gozam de uma característica que eu chamo de Segurança por Reputação, afinal ninguém testa, ninguém avalia, mas todo mundo confia.

A cada dia as estatísticas provam que esta confiança coloca grandes empresas em risco. Afinal o número de vulnerabilidades para estas plataformas só aumenta conforme o gráfico 1 que apresenta as falhas descobertas nos últimos anos em soluções da SAP. E o investimento em segurança de verdade não acontece. Uso a expressão segurança de verdade, pois as empresas acreditam estar investindo em segurança, afinal gastam valores altíssimos em revisões de perfis realizadas por auditores de empresas especializadas.


Gráfico 1 – Fonte Fonte http://erpscan.com/publications/sap-security-in-figures-a-global-survey-2007-2011/



Acontece que estas análises não focam em identificar falhas na solução e sim em validar regras de negócio. A revisão das regras de negócio é necessária, mas não irá identificar e ajudar a corrigir as falhas na plataforma e na sua configuração. As estatísticas mostram que 69% das falhas da SAP são críticas e devem ser corrigidas com prioridade conforme o gráfico 2. 


Gráfico 2 – Fonte http://erpscan.com/publications/sap-security-in-figures-a-global-survey-2007-2011/

Como os ambientes podem estar seguros se existe uma máxima que não se aplica atualizações em ambiente SAP porque ele é crítico para empresa?


Falando da Oracle, a situação não é diferente. Os números também não são animadores, conforme o gráfico 3 que apresenta o número de vulnerabilidades por ano.




Gráfico 3 – Fonte http://www.cvedetails.com/vendor/93/Oracle


Para aumentar o nível de segurança destes ambientes é necessário um investimento em análises de vulnerabilidades técnicas e testes de invasão que irão validar se o ambiente está adequadamente configurado e possui todas as atualizações de segurança necessárias. De posse destas análises as empresas poderão desenvolver planos de ações para corrigir estas vulnerabilidades e adotar uma arquitetura que seja segura e adequada a sua característica.
Não confie nos produtos que você adquire. Independente da empresa e do valor pago, invista em análise e conhecimento do seu ambiente.

1 – http://exame.abril.com.br/negocios/empresas/noticias/lucro-da-oracle-cresce-7-5-no-4o-trimestre-2/
2 – http://computerworld.uol.com.br/negocios/2012/07/24/receita-da-sap-cresce-12-no-segundo-semestre/

Originalmente postado no Blog da Conviso Application Security – Siga-nos no Twitter @conviso Google+
About author

Articles

Uma equipe de profissionais, altamente conectados com as notícias, técnicas e informações sobre a segurança de aplicações.
Related posts
Segurança de Aplicação

Como Desenvolver Aplicações Com Segurança? Um guia inicial

Por que desenvolver com segurança? Seria muito bom se não precisássemos ter antivírus, que…
Read more
Code FightersMobileSegurança de Aplicação

Pré-testes Android: Conceitos básicos e uma introdução ao tema

Fazer um bom laboratório para testes de segurança em aplicações android pode ser uma tarefa…
Read more
NotíciasSegurança de Aplicação

Treinamento online e gratuito sobre Segurança de Aplicações: Conheça o AppSec Starter

A Conviso disponibilizou em seu canal de YouTube o treinamento AppSec Starter – um treinamento…
Read more

Deixe um comentário