Este artigo vista transmitir a mensagem da importância do teste de intrusão (teste de invasão ou pentest) em uma instituição que está em processo de adequação à LGPD.
A Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018, é a legislação brasileira que regula as atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16 do Marco Civil da Internet, mas se você chegou até aqui é muito provável que você já saiba disso, porém, se essa lei ainda é obscura para você, recomendo ler a explicação nesses links: Lei Geral de Proteção de Dados e O que muda com a LGPD?
Sabemos que a informação possui um valor inestimável nos dias atuais e as empresas já se conscientizaram que, proteger seu ambiente é crucial para a continuidade de negócio e um possível vazamento poderá ser devastador para qualquer organização que lida com dados sensíveis, seja de seus colaboradores e/ou seus clientes e fornecedores.
Um pentest (ou teste de intrusão/invasão) será o divisor de águas para entender se as soluções de segurança aplicadas à sua instituição são realmente eficientes em caso de um incidente e além disso, como sua equipe de TI irá responder à esse possível incidente.
Cultura de agir tardiamente
Lembramos que culturalmente nós brasileiros temos o péssimo hábito de aplicar a devida preocupação com dados quando um incidente já ocorreu ou é iminente e esse hábito poderá trazer problemas imensuráveis para qualquer instituição.
Mais de 70% dos clientes que chegam até nós já sofreram com vazamento de dados e estão desesperados para descobrir como, quem e quando suas soluções de segurança foram violadas, além disso, quase todas as empresas são nacionais, o que reforça ainda mais a estatística que o problema é cultural.
Empresas que são estrangeiras e possuem filiais no Brasil tendem a agir proativamente e trabalham com testes de intrusão regularmente, até mesmo quando não se falava de LGPD.
O pentest deve ser incluído na implementação da LGPD
Parece óbvio, mas vale reforçar; afinal, acompanhamos diversas instituições que estão se preparando para a LGPD e esqueceram ou não entenderam que um teste de intrusão é tão útil quando a implementação de uma política de segurança.
Durante os testes de intrusão em um cliente do ramo financeiro, que estava em processo de adequação à LGPD, testamos todo o parque informático interno e externo da empresa e pudemos analisar diversas camadas de segurança implementadas, políticas bem aplicadas e soluções robustas, porém, encontramos um ponto falho, que nos serviu de ponto de entrada na rede e então a escalação de privilégios e por fim o controle de boa parte da rede interna do mesmo.
Identificamos que o administrador de rede desta instituição utilizava um mouse sem fio da marca Logitech e resolvemos investir contra a comunicação entre o mouse e o laptop utilizando a técnica Mousejacking e após injetar alguns comandos, conseguimos o controle de sua máquina e começamos a buscar meios para escalar os privilégios na rede.
Em resumo, a mensagem que quero passar é simples.
Você precisa testar a soluções de segurança no seu ambiente, pois, apenas políticas de segurança, um endpoint e processos bem estruturados não são suficientes para segurar um atacante com bons conhecimentos e motivados.
Um cracker ou um hacker irá testar a segurança do seu ambiente, você deve escolher qual dos dois irá fazer isso.
