Segurança de Aplicação

Segurança por Reputação

Trabalhando com segurança da informação a alguns anos e consultando alguns números[1][2] é fácil concluir que a dupla Oracle e SAP são quase unanimidade em grandes empresas. A base instalada destes produtos é numerosa e de vital importância, afinal eles suportam operações críticas de seus clientes.

Este fato já não surpreende, mas o que impressiona é o número de profissionais que acredita que por ter comprado um produto com uma marca forte e referência no seu segmento ele é seguro, não necessita de avaliações e cuidados com a sua segurança.

Estes produtos gozam de uma característica que eu chamo de Segurança por Reputação, afinal ninguém testa, ninguém avalia, mas todo mundo confia.

A cada dia as estatísticas provam que esta confiança coloca grandes empresas em risco. Afinal o número de vulnerabilidades para estas plataformas só aumenta conforme o gráfico 1 que apresenta as falhas descobertas nos últimos anos em soluções da SAP. E o investimento em segurança de verdade não acontece. Uso a expressão segurança de verdade, pois as empresas acreditam estar investindo em segurança, afinal gastam valores altíssimos em revisões de perfis realizadas por auditores de empresas especializadas.


Gráfico 1 – Fonte Fonte http://erpscan.com/publications/sap-security-in-figures-a-global-survey-2007-2011/



Acontece que estas análises não focam em identificar falhas na solução e sim em validar regras de negócio. A revisão das regras de negócio é necessária, mas não irá identificar e ajudar a corrigir as falhas na plataforma e na sua configuração. As estatísticas mostram que 69% das falhas da SAP são críticas e devem ser corrigidas com prioridade conforme o gráfico 2. 


Gráfico 2 – Fonte http://erpscan.com/publications/sap-security-in-figures-a-global-survey-2007-2011/

Como os ambientes podem estar seguros se existe uma máxima que não se aplica atualizações em ambiente SAP porque ele é crítico para empresa?


Falando da Oracle, a situação não é diferente. Os números também não são animadores, conforme o gráfico 3 que apresenta o número de vulnerabilidades por ano.




Gráfico 3 – Fonte http://www.cvedetails.com/vendor/93/Oracle


Para aumentar o nível de segurança destes ambientes é necessário um investimento em análises de vulnerabilidades técnicas e testes de invasão que irão validar se o ambiente está adequadamente configurado e possui todas as atualizações de segurança necessárias. De posse destas análises as empresas poderão desenvolver planos de ações para corrigir estas vulnerabilidades e adotar uma arquitetura que seja segura e adequada a sua característica.
Não confie nos produtos que você adquire. Independente da empresa e do valor pago, invista em análise e conhecimento do seu ambiente.

1 – http://exame.abril.com.br/negocios/empresas/noticias/lucro-da-oracle-cresce-7-5-no-4o-trimestre-2/
2 – http://computerworld.uol.com.br/negocios/2012/07/24/receita-da-sap-cresce-12-no-segundo-semestre/

Originalmente postado no Blog da Conviso Application Security – Siga-nos no Twitter @conviso Google+
About author

Articles

Uma equipe de profissionais, altamente conectados com as notícias, técnicas e informações sobre a segurança de aplicações.
Related posts
Segurança de Aplicação

O mercado de segurança de aplicações no Brasil

Quando a Conviso foi fundada, em 2008, desenvolvimento seguro de software era então um tema…
Read more
Segurança de Aplicação

Por que APIs podem ser um alto risco para as empresas

Quando olhamos para o mundo de desenvolvimento e sua evolução nos últimos anos, podemos dizer que…
Read more
MobileSegurança de AplicaçãoSem categoria

3 serviços de AppSec que não podem ser negligenciados no fim de ano

2020 tem sido um ano atípico, mas mesmo em anos incomuns, algo é certeiro: na correria de fim de…
Read more

Deixe um comentário