Investimentos em novas metodologias de proteção reforçam a Política de Segurança da Informação desenvolvida e ampliada continuamente no software
O SOC – Software Integrado de Gestão Ocupacional amplia constantemente a sua Política de Segurança da Informação, especialmente através de diversas ferramentas, como a conscientização e a comunicação da Equipe de Desenvolvimento. Como parte desse processo de melhoria contínua, o software implementou a metodologia de Testes EHT (Ethical Hacking Tests, ou Testes de Invasão em português), que analisam as sensibilidades no ambiente e na aplicação em si. Com esse novo recurso, são implementadas melhorias cada vez mais eficazes e modernas de Segurança da Informação (SI).
Para realizar todas essas ações, foi necessário ampliar a Equipe SOC, investir em consultorias externas, infraestrutura e ferramentas especializadas para gerenciar a SI da empresa. O SOC já realizou testes de ambiente e a aplicação e, segundo Cibele Vasconcelos, Coordenadora de Segurança da Informação, já foi possível estabelecer diversas melhorias. “Analisamos banco de dados, infraestrutura, conectividade web, senhas de acesso e muitos outros critérios. Com base nessas análises, a empresa de consultoria emitiu um laudo técnico e foram classificados os níveis de criticidade, entre baixa, média e alta, e elencamos as possíveis vulnerabilidades do software, com as devidas medidas de prevenção e erradicação de cada uma delas”, comenta.
A partir desse ponto, cada área específica da Equipe SOC assume uma missão diferente para mitigar as possíveis sensibilidades. “Testamos o software exaustivamente e esse trabalho intenso gerou uma série de benefícios. Com os laudos e, a partir das alterações, conseguimos reaplicar o mesmo teste e pudemos ver a eficácia de cada melhoria”, explica Cibele.
Depois que adotou a metodologia EHT, diversas alterações foram aplicadas. Em termos de banco de dados, por exemplo, o software atingiu níveis de desempenho cada vez melhores depois que os testes foram iniciados. “Em Segurança da Informação, nunca podemos estar satisfeitos. É por isso que, além dos testes, também desenvolvemos outros meios de prevenção, com o auxilio de parceiros, profissionais especializados, monitoramento constante entre outras medidas. Para nós, SI não se trata de uma tendência de mercado, mas de uma realidade. E é a nossa obrigação evoluir, ampliar as camadas de proteção e garantir que o nosso serviço seja sempre de qualidade”, finaliza Cibele.
Tipos e características dos EHTs:
EHT Black Box: teste cego sem conhecimento ou login de usuário.
EHT Gray Box: teste com conhecimento e/ou login de usuário.
EHT White Box: teste com conhecimento avançado da aplicação, com acesso ao código fonte e sistemas utilizados (servidor web, aplicação e banco de dados e legados).
Análise Hardening: avaliação de configuração segura dos servidores e dos serviços. Baseado nessas informações, analisa-se custos e tempo de execução.
