O aperfeiçoamento contínuo
inclui entender como as características individuais afetam os objetivos dos
programas de gerenciamento de vulnerabilidade.
Quando se determina a postura
de segurança ou nível de compliance, a qualidade dos dados é suprema. Vulnerabilidades
desapercebidas irão causar a falsa impressão de segurança, e dados sem
qualidade podem gerar vulnerabilidades “falso positivo” não-existentes.
Quando a redução da superfície de ataque é prioridade, os dados devem ser
coletados com freqüência, mas não é fundamental para determinar a postura
de segurança.
A freqüência da coleta
de dados para iniciativas de compliance deve ser especificada conforme as
necessidades individuais de compliance.
A análise de tendências é de
grande utilidade para entender a postura de segurança, o sucesso dos esforços
para reduzir a vulnerabilidade e as atividades relacionadas a compliance. Informações
de tendência mostram como o perfil de risco da empresa muda com o passar do
tempo, e como os eventos externos, como a vulnerabilidade e lançamentos de
ajustes (patches) impactam a postura de segurança corporativa.
Os falsos positivos mostram,
erroneamente, vulnerabilidade e erros de configuração onde não existem. A análise
de tendências pode reduzir os falsos positivos, mas eles ainda terão um impacto
significativo nas atividades de compliance, já que uma imagem exata das
vulnerabilidades é essencial para os relatórios de compliance.
Esta é a quinta e última parte da
reportagem sobre gerenciamento de vulnerabilidade que o IT Web publica desde
quarta-feira (19/11). Acompanhe!
* Matthew Miller, Nathaniel
Puffer e Greg Shipley trabalham na Neohapsis, uma empresa de serviços e
software de gerenciamento de risco de informação
Leia mais:
Confira as todas as reportagens
– primeira matéria
– O processo em funcionamento (a partir de 20/11)
– A integração de coleta de dados (a partir de 21/11)
– Estabeleça prioridades (a partir de 24/11)
