Pentest são valiosos para a cybersecurity apenas se os resultados são propriamente traduzidos em uma melhora na estratégia de cybersecurity.

Uma pesquisa recente feita na conferência da HIMSS (setor de saúde), sugeriu que o pentest é uma prioridade das equipes de segurança. O Gartner por sua vez prevê para os próximos anos um crescimento do uso dessa ferramenta em 14%. Essas projeções combinadas deixam explícito que muitas empresas estão reconsiderando reorganizar seus orçamentos para priorizar a execução de pentests. Isso é ótimo, mas apenas se estiverem claros os limites e o real papel de um pentest dentro da estratégia de segurança.

 

Não confie em um teste que diga que sua defesa é perfeita

Teoricamente, o pentest é uma excelente forma de auxiliar o gestor de segurança em sua tarefa de mitigar os riscos. É uma ferramenta excelente para avaliar a eficácia da cybersecurity e dos mecanismos de detecção e resposta, também é muito boa para quando se quer construir um caso concreto interno para mudanças necessárias e/ou incremento no orçamento da área. Contudo, pentests que dizem que suas defesas são impenetráveis certamente possuem algum erro de execução.

Em nossa vasta experiência na realização de pentests, em empresas de diferentes tamanhos e segmentos, podemos dizer com tranquilidade que sempre existe uma forma de entrar, inclusive lançando meios de engenharia social. Isso nos leva a alguns pontos:

1 Os atacantes possuem as mesmas ferramentas à mão, e são tão bons quanto nossos melhores pentesters.

2 O elo mais fraco para qualquer ataque são as pessoas, os colaboradores, e não os sistemas de segurança

3 Investir mais em controles preventivos e empregar práticas como gestão de patches em aplicações vão mitigar em muito o risco, mas não vão garantir total segurança.

Após o teste

Um pentest pode ajudar na organização interna, na reorganização de prioridades e recursos para endereçar os problemas encontrados, de acordo com a criticidade. Também pode ajudar no cálculo do risco ao negócio. Em outras palavras, as vulnerabilidades identificadas são menos importantes do que a gestão que virá a partir dessas informações. Contudo, existem duas áreas de foco que devem ser avaliadas de acordo com os resultados de um pentest:

1 Treinamento de Usuários

Não existe firewall que segure decisões erradas, como passar as credenciais de acesso para um atacante, mas isso pode ser mitigado com conscientização e treinamento para os usuários no ambiente corporativo.

2 Detecção e Resposta

A melhor forma de alavancar os resultados de um pentest é avaliar como as atividades foram detectadas, e se a resposta foi adequada para interromper a atividade e prevenir perdas reais no futuro. Relembre-se, pentests são valiosos como pontos de referência, mas apenas se os resultados forem propriamente traduzidos em melhorias na estratégia de cybersecurity.