Pentest: Vale a pena?
Sei que o assunto é polêmico e divide opiniões. Hoje visitando um cliente, o mesmo me informou que desejava realizar um teste de invasão (mais conhecido pelo termo inglês “Pentest”) nos seus sistemas para direcionar os investimentos em segurança da informação. Aparentemente parece uma boa estratégia, mas essa empresa não possui uma política de Segurança da Informação, nem Firewall, nem uma solução de Backup e nem Antivírus (ou nos termos atuais proteção de Endpoint).
Considerando o cenário que descrevi acima, será que vale à pena desviar recursos financeiros que podem ser empregados na melhoria do ambiente de uma forma geral para realizar um teste que provavelmente irá detectar inúmeras vulnerabilidades e apontar necessidades e pontos de falha já conhecidos e latentes?
Sempre prego o equilíbrio nos investimentos em Tecnologia da Informação, principalmente quando envolve a Segurança da Informação, sempre uso o seguinte exemplo: Qual o sentido de se colocar uma fechadura biométrica de última geração em uma sala de servidores que as paredes são compostas de divisórias que com pouco esforço e uma chave de fenda podem ser abertas?
Nada contra os testes de invasão, desde que eles façam parte de um plano de Segurança da Informação, que sejam parte de uma análise de riscos ou que de forma mais sensata, façam parte de um processo contínuo. Se seus sistemas passam por um teste destes e nada é encontrado, não necessariamente indica que você está seguro. Será que o esforço realizado durante o teste para invadir seus sistemas foi suficiente?
Defendo que seja parte de um processo contínuo, pois vejo o “Pentest” como um exame de raios X. Ambos mostram o estado atual e como sabemos, todos os dias novas vulnerabilidades, novas formas e métodos de ataque surgem aos montes, logo um teste que hoje não encontrou vulnerabilidades, se repetido num intervalo de 30 dias poderá apresentar resultados diferentes simplesmente considerando as novas metodologias de ataque que com certeza surgiram neste intervalo.
Como disse no início deste post, é um assunto polêmico e aqui expus meu ponto de vista simplesmente buscando a racionalidade e o equilíbrio nos investimentos de TI.