Vulnerabilidade de Segurança são as fraquezas/falhas de um sistema de segurança que poderia ser potencialmente explorado por uma ou mais ameaças e causar danos e prejuízos a organização. Elas contribuem decisivamente para geração de violações de segurança.
As vulnerabilidades de segurança podem surgir por falta ou falhas nos controles de segurança, ou por erros ou ações intencionais das pessoas envolvidas no processo em questão. Elas podem ser classificadas em quatro categorias diferentes: operacionais, de pessoal, físicas e técnicas.
Escrito por José Sérgio Marcondes
Postado 19/07/2022
Definições de Segurança
A palavra segurança possibilita dois contextos de interpretação: primeiro, de “certeza, confiança, firmeza”. Que exprime uma condição de crença e convicção em si ou em outra pessoa. Segundo, de “ação ou efeito de segurar; situação do que está seguro; afastado da ameaça/perigo.
A palavra segurança, no contexto de proteger, refere-se ao ato de defender; afastar algo ou alguém de uma ameaça ou perigo; abrigar-se do mal; resguardar-se; procurar mecanismos de defesa da vida e de seus direitos. Implica minimizar ou eliminar qualquer tipo de risco a vida e/ou a propriedade.
Uma das estratégias de segurança para se atingir um nível de segurança adequado é implementação de controles de segurança, visando a neutralização de vulnerabilidades.
A aplicação da segurança envolve a implementação de contramedidas de segurança para mitigar vulnerabilidades existentes, por meio de um programa de segurança. No entanto, uma compreensão adequada do termo vulnerabilidade é fundamental para adoção das estratégias de mitigação de vulnerabilidades adequadas.
Quero saber mais sobre Contramedidas de Segurança
O que é Vulnerabilidade de Segurança?
Vulnerabilidade de Segurança são as fraquezas de um sistema de segurança que poderia ser potencialmente explorado por uma ou mais ameaças e causar danos e prejuízos a organização. Elas contribuem decisivamente para geração de violações de segurança.
As vulnerabilidades de segurança podem surgir por falta ou falhas nos controles de segurança, ou por erros ou ações intencionais das pessoas envolvidas no processo em questão.
As vulnerabilidades de segurança são basicamente as fraquezas que permitem que a ameaça atinja um ou mais ativos críticos da organização, causando perda e danos.
De acordo com os dicionários a palavra vulnerabilidade é um substantivo feminino que indica a qualidade ou estado do que é ou se encontra vulnerável. Por sua vez, vulnerável refere-se a algo sujeito a ser atacado, derrotado, ofendido, ou prejudicado.
Uma vulnerabilidade de segurança pode ser vista como qualquer fator que possa contribuir para gerar violações de segurança. Elas incluem itens como softwares mal configurados, aparelhos com sistemas desatualizados, barreiras físicas inapropriadas, falhas em controle de acessos, equipes de segurança despreparadas e etc. Em outras palavras, são brechas na segurança que tornam mais fácil o acesso não autorizado a ativos críticos.
De acordo com a ISO 27000,” as vulnerabilidades são “fraquezas de um ativo que poderia ser potencialmente explorado por uma ou mais ameaças”. Para criar um programa de segurança forte e eficaz você precisa ser capaz de identificar e avaliar as vulnerabilidades existentes, para que o processo de tomada de decisões seja baseado em controle de segurança eficazes.
Quero saber mais sobre Programas de Segurança
Como uma Vulnerabilidade de Segurança Surge?
As vulnerabilidades de segurança podem surgir por falta ou falhas nos controles de segurança, ou por erros ou ações intencionais das pessoas envolvidas no processo em questão. Essas fraquezas de segurança podem ocorrer durante a concepção, implementação, configuração ou operação de um ativo, controle ou processo. Elas podem ser geradas nas empresas através de falhas humanas, materiais ou tecnológicas, de forma acidental ou intencional.
Ao se identificar uma vulnerabilidade de segurança é necessário uma análise da mesma buscando a identificação da causa raiz dessa fraqueza, em muitos casos, uma única causa raiz gera mais de uma vulnerabilidade de segurança.
Principais Causas de Vulnerabilidades de Segurança
- Falhas de planejamento ou no gerenciamento da segurança;
- Ausência ou deficiência nas políticas, programas, planos ou procedimentos de segurança;
- Baixo investimento financeiro;
- Sistema de segurança incompatível com a necessidade de segurança da empresa;
- Equipes de segurança despreparadas e/ou desmotivadas;
- Estrutura de segurança inadequada;
- Equipamentos obsoletos;
- Operações de segurança mal planejadas ou sem supervisão adequada;
- Falta de um cultura de segurança solida na organização;
- Falhas humanas, materiais e tecnológicas.
Quero saber mais sobre Operações de Segurança
Quais são os Tipos de Vulnerabilidade de Segurança?
As vulnerabilidades de segurança podem ser classificadas em quatro categorias diferentes:
- Operacionais;
- De pessoal;
- Físicas;
- Técnicos.
1. Vulnerabilidade Operacional
As vulnerabilidades operacionais estão relacionadas à forma como as organizações fazem negócios. Falhas no tratamento de dados sensíveis, guarda inadequada de ativos, processo fraco que permite que alguém altere a senha de uma conta, por exemplo, são vulnerabilidades operacionais.
Vulnerabilidades operacionais são vulnerabilidades resultantes de como uma organização faz seus negócios, como executa seus processos ou de como as pessoas realizam suas atividades. Estão relacionadas as operações da organização, envolve as possíveis fraquezas existentes no funcionamento de um sistema operacional. Envolve a forma com que as atividades são concebidas, planejadas, divulgadas e tratadas.
Em outras palavras, as vulnerabilidades operacionais envolvem uma deficiência no uso geral de um ativo ou na forma como o acesso à ele é concedido. Frequentemente essas vulnerabilidades se concretizam acidentalmente ou ao acaso, porque as pessoas simplesmente implementam seus próprios procedimentos operacionais, ou seja, deixam de seguir as políticas e procedimentos de segurança estabelecidos pela organização.
Falhas nos processos de gestão da segurança é uma outra vulnerabilidade básica que precisa ser considerada, deficiências no gerenciamento da segurança são uma das causas raízes de muitas outras vulnerabilidades. A falta de governança estabelecida na segurança cria programas de segurança aleatórios que muitas vezes são insuficientes e falhos.
Quero saber mais sobre Política de Segurança
2. Vulnerabilidade de Pessoal
As vulnerabilidades de pessoal estão relacionadas a forma como uma organização recruta, seleciona, contrata, treina, administra, monitora e demite pessoas dentro da organização.
Por exemplo: se uma empresa não verifica referências e antecedentes de um candidato, corre o risco de contratar alguém inadequado. Se não implementa programas de treinamentos, corre o risco de ter funcionários despreparados para função, e se implementa uma política de recursos humanos inadequada corre o risco de ter funcionários desmotivadas e descontentes.
Da mesma forma, se houver funcionários problemáticos, a empresa precisa garantir que eles serão identificados e tratados, visando a recuperação dos mesmos, quando possível, ou substituição, quando o reaproveitamento for considerado inviável.
As vulnerabilidades de pessoal refere-se as fraquezas existentes no processo de gestão de pessoas da organização, podendo envolver falhas nos processos de: recrutamento, seleção, contratação, capacitação, desenvolvimento, motivação, controle, comunicação e reconhecimento.
A vulnerabilidade de pessoal, de forma simplificada, envolve a forma como o pessoal é gerenciado na empresa, condição que pode tornar o colaborador um defensor dos interesses da organização, e em outro extremo, uma ameaça aos objetivos da empresa.
Embora essa categoria geralmente se refira as pessoas como funcionários, ela se aplica a qualquer pessoa que tenha relação direta de prestação de serviços a organização. Podem ser funcionários diretos, contratados, funcionários temporários, fornecedores e quaisquer outras partes em um relacionamento semelhante. Todas essas partes devem estar sujeito às mesmas considerações de segurança e, se não estiverem, isso em si é um vulnerabilidade.
A forma mais adequada de corrigir as vulnerabilidades de pessoal é a adoção de uma boa politica de gestão de pessoas pela organização.
Quero saber mais sobre Gestão de Pessoas
3. Vulnerabilidade Física
Vulnerabilidades físicas são amplamente vulnerabilidades que requerem uma presença física para serem exploradas, referem-se as deficiências e falhas de segurança física. Envolvem principalmente controle de acesso físico aos ativos críticos da organização.
A segurança física é parte da segurança, que por meio de barreiras físicas, projetadas para dissuadir, impedir, dificultar, detectar e responder a acessos não autorizados e indícios de sinistros, busca promover e manter a segurança física das pessoas, instalações, equipamentos e demais ativos da organização.
As vulnerabilidades físicas variam de portas destrancadas, objetos e bens de valor deixados sem proteção, a senhas de computador exposta em etiquetas presas ao monitor. Essas são exemplos de vulnerabilidades que fornecem acesso físico a um ativo de valor.
Exemplos de Vulnerabilidades Físicas
- Equipe de segurança despreparadas, mal informadas ou desmotivadas;
- Operações de segurança mal planejadas e até desnecessárias;
- Controles de acesso físico deficientes;
- Barreiras físicas inadequadas;
- Espaço de escritório compartilhado;
- Localização física de risco;
- Ausência de uma politica de tratamento de Lixo;
- Facilidade de acesso a impressoras e copiadoras;
- Movimentação de mídia de dados eletrônico;
- Falta de rastreamento de estoque e de inventário periódicos.
Quero saber mais sobre Segurança Física
4. Vulnerabilidade Técnica
As vulnerabilidades técnicas estão relacionadas a uma fraqueza que permite um ataque contra computadores, redes, sistema de informações e tecnologias relacionadas. São fraquezas relacionados a Tecnologia da Informação da organização.
Vulnerabilidades técnicas são problemas especificamente embutidos na tecnologia. Todo software pode apresentar falhas de uma forma ou de outra. Qualquer tecnologia implementada de forma inadequada pode criar uma vulnerabilidade que pode ser explorada.
As vulnerabilidades técnicas nas empresas são prevenidas e tratadas pela área de Segurança da Tecnologia da Informação, e envolve medidas de proteção adotadas para proteger a integridade das tecnologias de informação como sistemas de computadores, redes e dados contra ataques, danos e acessos não autorizados.
O objetivo principal da Segurança da Tecnologia da Informação é garantir a confidencialidade, disponibilidade e integridade das informações da organização.
A segurança de TI tem um papel estratégico nas organizações, pois é ela a responsável pelos processos de proteção de toda a estrutura da tecnologia de uma empresa, como: bancos de dados; servidores; provedores; computadores e notebooks; data centers; serviços de proteção de dados, entre outros.
Quero saber mais sobre Segurança da Tecnologia da Informação
Exemplos de Vulnerabilidades de Segurança
- Validação de dados ineficiente;
- Compartilhamento de senhas;
- Softwares desatualizados;
- Ausência de backups regulares;
- O não uso ou uso incorreto de firewall e antivírus;
- Uso de EPI inadequado;
- Ausência de controle de distribuição de EPI;
- Funcionários negligentes nas questão de segurança;
- Barreira perimetral muito baixa ou fraca;
- Lâmpadas queimadas;
- Sistema de gestão da segurança deficiente;
- Ausência de inventário de ativos de forma periódica;
Influencia da Vulnerabilidade de Segurança na Gestão de Riscos
O risco é o resultado da possibilidade de uma ameaça explorar uma vulnerabilidade existente e causar danos ou perdas para um ativo da organização. No cálculo do risco, duas peças fundamentais estão envolvidas: ameaças e vulnerabilidades.
Vulnerabilidades são as fraquezas defensivas de uma organização/ativo, que podem ser exploradas para que uma ameaça seja bem-sucedida. Ameaça são qualquer indicação de circunstância ou evento com potencialidade de causar perdas ou danos a um ativo da organização. Uma ameaça sem vulnerabilidade e um vulnerabilidade sem uma ameaça não é uma preocupação. Somente quando ambos estão presentes podemos ter um item de risco potencial.
Neste contexto, é possível concluir que os dois fatores (ameaça x vulnerabilidade) influenciam na existência e intensidade do risco, portanto, você só tem que baixar um dos dois fatores para reduzir seu risco. A questão é escolher entre ameaças e vulnerabilidades, qual podemos controlar?
A resposta é a vulnerabilidade!. Não temos controle sobre as ameaças. Você não pode controlar furacões, terremotos, criminalidade, invasores? A única coisa que você pode controlar são as vulnerabilidades ou fraquezas em seu ambiente. Com base nessa lógica, o foco da redução de riscos deve ser a correção das vulnerabilidades.
Quero saber mais sobre Gerenciamento de Riscos
Gerenciamento de Vulnerabilidade de Segurança
O gerenciamento de vulnerabilidades é o processo de identificar, avaliar, classificar, tratar e relatar vulnerabilidades em sistemas de segurança. O tratamento consiste na correção da vulnerabilidade, aplicação de controles de segurança para minimizar a probabilidade de exploração da mesma por uma ameaça.
O gerenciamento de vulnerabilidade é conjunto de atividades coordenadas que tem por objetivo a redução, a níveis aceitáveis, das vulnerabilidades de segurança encontradas durante o processo de “Avaliação de Segurança” ou “Avaliação de Vulnerabilidades” em um determinado ativo, conjunto de ativos ou ambiente ambiente organizacional.
Os benefícios da gestão de vulnerabilidades são semelhantes aos da “Gestão de Riscos”. Enquanto para a Gestão de Riscos são considerados as variáveis relacionadas ao “negócio” como, por exemplo, o impacto causado na imagem da instituição, para a gestão de vulnerabilidades é avaliada a, probabilidade de uma violação de segurança ocorrer quando uma vulnerabilidade for explorada.
O gerenciamento de vulnerabilidades é um processo contínuo, enquanto uma avaliação de vulnerabilidades é uma avaliação única de um sistema de segurança. A avaliação de vulnerabilidades faz parte do processo de gerenciamento de vulnerabilidades, mas não vice-versa. O gerenciamento de vulnerabilidades deve ser parte integrante do sistema de gerenciamento de riscos de segurança da organização.
Processos de Gerenciamento de Vulnerabilidades
O processo de gerenciamento de vulnerabilidades pode ser dividido em 6 etapas a seguir:
- Gerar um inventário de ativos críticos da organização – identificar os ativos críticos e sua atratividade perante o ambiente de atuação da organização. Atratividade é a qualidade, condição ou estado do que é atrativo para uma ameaça potencial.
- Identificar e relacionar as possíveis ameaças – com base nas relação de ativos críticos, você deve identificar as ameaças potenciais a esses ativos. A ameaça é expressa pela existência de uma indicação de circunstância, evento ou individuo com potencial de causar perdas ou danos a um ativo da organização.
- Identificar vulnerabilidades – nessa fase deve ser identificadas todas a condições de segurança (fraquezas) que podem ser exploradas por uma ameaça, que possibilite violação de segurança em relação aos ativos críticos.
- Avaliação de vulnerabilidades – tem o objetivo de identificar a relevância de uma determinada vulnerabilidade frente aos o objetivos e negócios da organização. Envolve a probabilidade de uma violação de segurança ocorrer quando uma vulnerabilidade for explorada.
- Tratamento das vulnerabilidades – é o processo onde são desenvolvidas e implantadas ações corretivas para melhor o sistema de segurança que protege determinado ativo, visa corrigir uma determinada fraqueza (vulnerabilidade de segurança). A decisão de tratamento ou não, de uma determinada vulnerabilidade, é decidida no processo de avaliação de riscos, tendo como referencia o dano que essa vulnerabilidade pode representar ao negócio da organização.
- Monitoramento de vulnerabilidades – circunstâncias, eventos ou indivíduos com potencial de causar perdas ou danos a um ativo da organização devem receber monitoramento continuo, um controle de segurança, que hoje é eficaz, pode não ser daqui a uma semana. Os controles de segurança devem ser flexíveis e adaptáveis as mudanças de ambiente e de comportamento e estratégias das ameaças potenciais.
Dicas Reduzir a Vulnerabilidade de Segurança
- Desenvolva e implemente um sistema de gestão de segurança adequado as necessidades de segurança da organização;
- Crie politicas, programas, planos e procedimentos de segurança compatíveis com as necessidades de segurança da empresa e seus objetivos estratégicos;
- Implemente um programam de gerenciamento de riscos;
- Crie planos de contingencia;
- Crie um programa de gerenciamento de operações de segurança eficiente.
Por mais bem implementado e gerenciado que seja um sistema de segurança, devemos ter sempre em mente que algo indesejável pode ocorrer, um evento fora de nosso controle pode acontecer e vir a prejudicar ou até parar o funcionamento da empresa ou parte dela. Sabendo disso, temos a obrigação de nos preparamos para essa possibilidade, elaborando Planos de Contingencias eficazes.
Plano de Contingência está relacionada ao planejamento preventivo e alternativo realizado para atuação durante um evento indesejável que afete as atividades normais da organização, com potencial de interferir na continuidade dos seus negócios. O plano de contingência pode ser visto como um plano de ação para os casos em que uma ameaça supera os controles de segurança, é uma pronta para as violações de segurança.
Quero saber mais sobre Plano de Contingência
Você Gostou do Artigo? Sem sim, colabore com o crescimento e divulgação do Blog
Aqui no Blog publico frequentemente artigos relacionados a segurança privada e gestão organizacional, visando sempre agregar conhecimento para os leitores, visando seu desenvolvimento profissional e pessoal.
Para continuar publicando e disponibilizando os artigos de forma gratuita a todos, solicito a você leitor ou leitora, que ajude na divulgação e crescimento do blog, fazendo pelo menos uma das práticas a seguir:
- Deixe seu comentário no final do artigo, ele é muito importante para mim;
- Divulgue, curta e compartilhe as publicações com seus amigos pelas redes sociais;
- Inscreve-se na nossa Newsletter. Cadastre seu e-mail logo abaixo e receba avisos sobre novas publicações.
Forte abraço e sucesso!
José Sérgio Marcondes – CES
Especialista em Segurança Empresarial
Consultor em Segurança Privada
Diretor do IBRASEP
Leia também…
Sugiro a leitura dos artigos a seguir como forma de complementar o aprendizado desse artigo.
Gestão de Operações de Segurança: O que é, Principais Funções
Sistema de Gestão de Segurança: O que é, Objetivo e Estrutura
Dados para Citação Artigo
MARCONDES, José Sérgio (19 de julho de 2022). Vulnerabilidade de Segurança: O que é, Classificação, Exemplos. Disponível em Blog Gestão de Segurança Privada: https://gestaodesegurancaprivada.com.br/vulnerabilidade-de-seguranca-o-que-e-classificacao-exemplos/– Acessado em (inserir data do acesso).
Junte-se ao Nosso Grupo de WhatsApp!
Quer ser o primeiro a receber as novidades do nosso blog? Não perca tempo! Junte-se ao nosso grupo no WhatsApp e fique sempre atualizado(a) com as últimas postagens e atualizações!
Sobre o Autor
0 Comentários