www.cesce.pt
 


A mobilidade é cada vez mais uma exigência das Organizações, acesso à empresa em qualquer altura e em qualquer lugar. São inquestionáveis as vantagens para as entidades, acesso em tempo real a toda a informação e processos de negócio, tomada de decisão mais correcta e assente no panorama actualizado da empresa.

Por outro lado, a mobilidade representa um grande desafio para as empresas que, à medida que registam um crescimento na sua utilização, vêem os riscos de segurança aumentar significativamente. O crescimento da mobilidade está intimamente ligado ao das aplicações Web, o que implica que muitas empresas e entidades governamentais aumentem a fatia de investimento que cabe à segurança aplicacional. A consciencialização para os riscos da utilização deste tipo de aplicações tem aumentado e levado a que as Organizações incorporem nos seus sistemas de TI formas de os controlar e mitigar. No entanto, há muitas outras que desconhecem as ameaças a que estão expostas e não tomam as medidas necessárias.

As ameaças proliferam e as Organizações não devem esperar pela evidência de ataques para se protegerem, até porque frequentemente estes ataques maliciosos são praticados de forma silenciosa, existindo uma grande dificuldade em conhecer a extensão real dos seus malefícios. Como tal, devem ser aumentados os níveis de alerta e confiar em empresas especialistas em segurança, para que as mesmas avaliem o estado real de protecção e de segurança na Organização, bem como os seus riscos, vulnerabilidades e propor as respectivas recomendações para os mitigar.

Os serviços de auditoria de segurança, como os fornecidos pela CESCE SI, desempenham aqui um papel fulcral, pois oferecem uma leitura do nível de Segurança da Aplicação Web da sua Organização. Na escolha do parceiro que as irá auxiliar nesta avaliação, as Entidades devem ter em conta vários factores. O nível de certificação e de experiência da equipa de consultores com quem vão trabalhar e o assegurar que o fornecedor cumpre com as políticas de confidencialidade da empresa são factores imprescindíveis para evitar qualquer fuga de informação. Além destes pontos, as empresas devem optar por companhias que assentem a sua avaliação numa metodologia sólida, de preferência baseada em normas específicas e em standards. No caso da CESCE SI, as auditorias são baseadas em ISO27002, metodologias específicas para as auditorias aplicacionais baseadas nos critérios da Web Application Security Consortium (WASC) para a identificação das ameaças e do Open Web Application Security Project (OWASP).

Apenas após uma correcta avaliação da exposição da Entidade podem os gestores definir os investimentos a fazer na sua protecção, definindo os projectos de melhoria, os controlos, políticas de segurança.

A exposição a riscos é um assunto que deve ser tratado com muita seriedade, mas não deve ser visto como um entrave para a utilização de aplicações Web. Desde que haja a consciencialização desta problemática, com as Entidades a terem clara noção dos perigos a que estão expostas e ao implementarem as soluções de protecção correctas, fornecidas por uma empresa certificada e experiente, podem usufruir com menor incerteza da grande vantagem competitiva das aplicações Web.

 

Ofélia Malheiros
Gestora de Desenvolvimento de Negócio - Divisão de Serviços
CESCE SI

dci@cesce.pt