As empresas precisam pensar na segurança como um processo – mais do que apenas como a implantação de produtos. É o que disse o analista Roberto Martínez, pesquisador de segurança para a América Latina, aqui no 3 Encontro de Analistas Latino americanos aqui em Cancun. E, para ele, isso tem com elemento central o processo de atualização dos softwares (pacthes).
Em sua palestra, ele citou uma frase do expert Bruce Schneier: “o mantra de todo bom engenheiro de segurança é: a segurança não é um produto, mas um processo. É mais do que implementar um criptografia forte em um sistema – é o desenho de todo o sistema de maneira que todas as medidas de segurança, inclusive a criptografia, trabalhem juntas”.
Ele explica que os cibercriminosos latinos estão atacando inclusive plataformas consideradas muito seguras, como o Linux, OSX e Unix. “Ainda são poucos os vírus dedicados a elas, mas existem e crescem em número”, alerta.
Além disso, aplicações onipresentes nas empresas -como Java, MS Office, Adobe Reader e o Internet Explorer- também podem ser exploradas – contornando o mito de que o grande problema é o Windows. “O Java é frágil e tornou-se a principal escolha para o cibercrime”, explica.
O submundo dos chamados exploits – códigos que exploram bugs de segurança em aplicativos- movimenta altas quantias. Um exploit para o Adobe Reader, por exemplo, custa de US$ 5 mil a US$ 30 mil. Para o MS Word, entre US$ 50 mil e US$ 100 mil. Os mais caros são os que atacam o sistema iOS, adotado nos iPhones – podem chegar até a US$ 250 mil. Os valores mudam conforme o ineditismo e o grau de eficácia do código malicioso.
Para Martinez, é importante que as empresas tenham em mente que os criminosos utilizam a demora na entrega dos updates para explorar os bugs nos softwares (exploits). Por isso,
“implementar um bom processo de gestão de patches é a chave do êxito”, afirma. “Adote uma solução de gestão que melhor se ajuste às necessidades da companhia”.