O que justifica realizar um Pentest?

poradmin

O que justifica realizar um Pentest?

Há alguns anos muitas empresas não conheciam o termo pentest ou sequer se preocupavam com segurança digital. Muitas não investiam seriamente na segurança de seus dados, limitando todo esforço realizado para configuração de redes e de servidores a um único funcionário, geralmente de outro setor da empresa, que tinha bons conhecimentos de informática e a aquisição de softwares de forma ilegal (pirataria).

Gato PretoHoje existem casos de sequestro de dados através de vírus (ransomwares) em empresas menores, como farmácias e oficinas mecânicas, quem dirá escolas e repartições públicas, onde o software malicioso através de um sistema de encriptação de dados ‘sequestra’ todos os arquivos de computadores em uma rede sem retirá-los de lá, solicitando assim uma determinada quantia em dinheiro para descriptografar todos os dados.

A certeza é uma só: após um ataque devastador de um invasor mal intencionado, nem a troca dos sistemas de gerenciamento e dos servidores de acesso e nem a contratação de um serviço especializado para reconfigurar toda a rede computadores irão repor os milhares e milhares em prejuízo causados pela falta de uma política de segurança da informação caso os dados envolvidos sejam registros trabalhistas, fiscais, estoques, compras, em resumo: quando toda a vida de uma empresa for perdida nesse ataque.

A realização de um Teste de Invasão (Pentest) é necessária quando há uma mudança na arquitetura da rede de computadores de uma empresa, ou na aquisição de um novo sistema de gerenciamento, pois dessa forma é possível prever e mitigar caso alguma vulnerabilidade em potencial seja descoberta devido tais mudanças.

No geral sempre existe a necessidade de se realizar um pentest ao menos uma vez por ano, devido ao surgimento de novas tecnologias e o aperfeiçoamento técnico dos invasores durante esse período.

Em determinados casos há a necessidade de se realizar tais testes de invasão a cada 6 meses como no caso de sistemas financeiros relacionados à pagamentos eletrônicos conforme a PCI-DSS*.

* A PCI-DSS foi fundada pela American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc., como um fórum global para a disseminação de padrões de segurança na proteção de dados de pagamento.

Sobre o Autor

admin administrator

Deixe uma resposta