Trabalhando com segurança da informação a alguns anos e consultando alguns números[1][2] é fácil concluir que a dupla Oracle e SAP são quase unanimidade em grandes empresas. A base instalada destes produtos é numerosa e de vital importância, afinal eles suportam operações críticas de seus clientes.
Este fato já não surpreende, mas o que impressiona é o número de profissionais que acredita que por ter comprado um produto com uma marca forte e referência no seu segmento ele é seguro, não necessita de avaliações e cuidados com a sua segurança.
Estes produtos gozam de uma característica que eu chamo de Segurança por Reputação, afinal ninguém testa, ninguém avalia, mas todo mundo confia.
A cada dia as estatísticas provam que esta confiança coloca grandes empresas em risco. Afinal o número de vulnerabilidades para estas plataformas só aumenta conforme o gráfico 1 que apresenta as falhas descobertas nos últimos anos em soluções da SAP. E o investimento em segurança de verdade não acontece. Uso a expressão segurança de verdade, pois as empresas acreditam estar investindo em segurança, afinal gastam valores altíssimos em revisões de perfis realizadas por auditores de empresas especializadas.
Gráfico 1 – Fonte Fonte http://erpscan.com/publications/sap-security-in-figures-a-global-survey-2007-2011/
Acontece que estas análises não focam em identificar falhas na solução e sim em validar regras de negócio. A revisão das regras de negócio é necessária, mas não irá identificar e ajudar a corrigir as falhas na plataforma e na sua configuração. As estatísticas mostram que 69% das falhas da SAP são críticas e devem ser corrigidas com prioridade conforme o gráfico 2.
Gráfico 2 – Fonte http://erpscan.com/publications/sap-security-in-figures-a-global-survey-2007-2011/
Como os ambientes podem estar seguros se existe uma máxima que não se aplica atualizações em ambiente SAP porque ele é crítico para empresa?
Falando da Oracle, a situação não é diferente. Os números também não são animadores, conforme o gráfico 3 que apresenta o número de vulnerabilidades por ano.
Gráfico 3 – Fonte http://www.cvedetails.com/vendor/93/Oracle
Para aumentar o nível de segurança destes ambientes é necessário um investimento em análises de vulnerabilidades técnicas e testes de invasão que irão validar se o ambiente está adequadamente configurado e possui todas as atualizações de segurança necessárias. De posse destas análises as empresas poderão desenvolver planos de ações para corrigir estas vulnerabilidades e adotar uma arquitetura que seja segura e adequada a sua característica.
Não confie nos produtos que você adquire. Independente da empresa e do valor pago, invista em análise e conhecimento do seu ambiente.
1 – http://exame.abril.com.br/negocios/empresas/noticias/lucro-da-oracle-cresce-7-5-no-4o-trimestre-2/
2 – http://computerworld.uol.com.br/negocios/2012/07/24/receita-da-sap-cresce-12-no-segundo-semestre/