Olá! Boas-vindas ao curso de Gestão de Vulnerabilidades. Meu nome é Raphael Rodrigues de Macedo Mattos e serei o instrutor deste curso.
Audiodescrição: Raphael é um homem pardo, com cabelos e barba pretos. Ao fundo, há uma parede branca iluminada em tons de azul e uma mobília contendo alguns objetos decorativos.
Neste curso, nós vamos aprender a montar e gerir um processo de gestão de vulnerabilidades de forma robusta e eficiente. Ou seja, vamos organizar as etapas de um processo para que ele seja adequado ao nosso ambiente e à nossa instituição. Também compreenderemos o ciclo de vida completo das vulnerabilidades e as etapas que fazem parte desse ciclo de vida de gestão de vulnerabilidades.
Nós vamos abordar como receber uma vulnerabilidade e tratá-la adequadamente do início ao fim, desde o momento em que a vulnerabilidade é recebida até passar por todo o processo e ser corrigida. Além disso, veremos como realizar a classificação e priorização de vulnerabilidades, que são aspectos fundamentais dentro de um processo de gestão de vulnerabilidades eficiente. A classificação é essencial para priorizar quais vulnerabilidades receberão atenção primeiro e quais receberão mais investimento para sua correção, remediação ou mitigação.
Vamos aprender a definir, implementar e monitorar SLAs, que são os Acordos de Nível de Serviço. Esses acordos determinam o tempo necessário para a correção de vulnerabilidades de acordo com seu nível de criticidade e o impacto que podem ter no ambiente.
Outro ponto que nós vamos abordar é como selecionar e aplicar remediação, mitigação e controles compensatórios de forma estratégica. Ou seja, se vamos corrigir a causa raiz de uma vulnerabilidade já de início ou se vamos aplicar algum controle mitigatório ou algum controle compensatório antes de implementar uma resolução definitiva para o problema.
Outro ponto importante é vincular a gestão de vulnerabilidades com a utilização de frameworks de mercado. Tanto para dar credibilidade ao processo, como evitar desenvolver técnicas que já estão amplamente testadas e desenvolvidas pelo mercado.
Também vamos observar como conduzir programas de bug bounty e divulgação responsável, que são programas para incentivo de identificação de vulnerabilidades por pesquisadores independentes e que oferecem esse trabalho em troca de uma recompensa ou um reconhecimento pela instituição.
Vamos também identificar e aprender a gerar métricas e relatórios executivos e operacionais para reportar a evolução do processo de gestão de vulnerabilidades e ter uma ferramenta de comunicação eficiente para aprimorar o processo.
Também vamos ver a importância de utilizar integrações e automações dentro do processo de gestão de vulnerabilidades para ganhar eficiência e escala no processo, assim como comunicar riscos e ações de vulnerabilidade de maneira eficiente para públicos internos e externos da empresa.
Esperamos que vocês tenham achado interessantes os tópicos que serão abordados durante o treinamento. Nos vemos na primeira aula com fundamentos de gestão de vulnerabilidades. Até lá!
Nesta primeira aula do curso de gestão de vulnerabilidades, abordaremos os fundamentos desse tema, que são os aspectos mais comuns relacionados a um processo de gestão de vulnerabilidades frequentemente observado em empresas e organizações.
Discutiremos o papel estratégico da gestão de vulnerabilidades e como ela se integra ao negócio para agregar valor a uma empresa ou companhia, sendo aplicada de forma estratégica.
Para ilustrar, consideremos o exemplo de uma pessoa CEO de uma grande empresa do setor financeiro, como um banco, que é questionada sobre a importância da segurança dentro da instituição. No setor financeiro, um dos pilares de concorrência no mercado é a credibilidade que a instituição transmite. Dificilmente um cliente aplicaria seus recursos ou depositaria seu dinheiro em uma instituição com baixa credibilidade ou vulnerabilidades conhecidas.
Dentro dessa perspectiva, a segurança deixa de ser apenas um custo para a empresa, algo em que a empresa precisa investir para evitar perdas financeiras, e passa a ser um elemento estratégico dentro da estrutura da empresa para competir no mercado com seus pares.
A segurança e a gestão de vulnerabilidades são essenciais para conferir credibilidade a uma empresa. Além disso, outros fatores importantes serão discutidos mais adiante. Vulnerabilidades podem impactar negativamente o negócio, e a gestão de vulnerabilidades atua precisamente para controlar essas vulnerabilidades e reduzir possíveis impactos no negócio por meio de uma gestão eficaz.
Vulnerabilidades podem resultar em perdas financeiras diretas, como custos para remediar a vulnerabilidade, que envolve corrigir o problema ou deficiência de segurança, além de multas ou perdas diretas decorrentes de fraudes. Também podem causar interrupções nas operações. Vulnerabilidades graves ou incidentes de segurança significativos podem interromper as operações de uma empresa, resultando em perdas de receita. Quando a produção é interrompida, a empresa deixa de receber recursos, o que pode ter um impacto severo no negócio. Dependendo do nível do incidente de segurança, isso pode até levar ao colapso do negócio.
A regulação é outro aspecto importante na questão da segurança. O não cumprimento de requisitos regulatórios pode resultar em impedimentos por não conformidade, fazendo com que a empresa deixe de atuar em seu ramo de atividade devido a impedimentos legais, multas ou sanções aplicadas por órgãos reguladores. Multas podem causar perdas financeiras e prejuízos, ou seja, empresas que não estão em conformidade com requisitos regulatórios podem ser alvo de multas que impactam negativamente o negócio.
A reputação também é um fator crítico. Um grave prejuízo de imagem pode afetar a percepção dos clientes em relação aos serviços e produtos oferecidos pela empresa, reduzindo o valor da marca. Isso impacta a forma como investidores e outros segmentos do mercado veem a empresa, afetando sua credibilidade. Em casos de empresas listadas em bolsa, isso pode levar à depreciação das ações devido à quebra de credibilidade causada por incidentes de segurança.
Em resumo, a gestão de vulnerabilidades é uma prática que se alinha aos objetivos do negócio, oferecendo suporte para garantir a credibilidade e mitigar riscos de incidentes. Isso assegura que a empresa esteja em conformidade com requisitos legais e preserva sua imagem e marca.
Nesta segunda aula do curso de gestão de vulnerabilidades, abordaremos a cultura organizacional e as barreiras comuns para estabelecer um processo eficaz de gestão de vulnerabilidades.
A cultura organizacional refere-se à forma como uma empresa se organiza para desenvolver suas atividades cotidianas. Algumas empresas são mais dinâmicas e fluidas, enquanto outras são mais burocráticas e lentas. Cada empresa possui características próprias, inerentes à sua cultura e aos profissionais que compõem sua força de trabalho. Essa cultura impacta diretamente no processo de gestão de vulnerabilidades, pois os processos precisam ser desenhados e definidos de acordo com a cultura da empresa e sua forma de trabalho. Isso é essencial para que os profissionais da empresa possam incorporar e executar o processo de maneira eficaz.
Empresas com processos rígidos e morosos podem enfrentar dificuldades relacionadas à fluidez dos processos, levando mais tempo para atingir etapas como a descoberta e correção de vulnerabilidades. No entanto, essas empresas geralmente possuem auditorias mais elaboradas e processos formalizados, o que pode resultar em maior dedicação ao cumprimento dos mesmos.
Algumas empresas possuem silos organizacionais, ou seja, áreas e setores que operam de forma independente e não unificada. Esses silos podem impor dificuldades na criação de um processo de gestão de vulnerabilidades, pois não há um funcionamento homogêneo entre as áreas. Assim, é necessário adaptar o processo para atender às diversas áreas e setores dentro desses silos.
Empresas que priorizam a inovação tendem a adotar novas ferramentas e metodologias de trabalho com mais facilidade, facilitando a implantação de novos processos. Por outro lado, empresas mais conservadoras podem enfrentar desafios adicionais nesse aspecto.
Os profissionais que trabalham em uma empresa, ou a empresa como um todo, podem enfrentar dificuldades em aceitar novas tecnologias e metodologias de trabalho, o que impõe desafios maiores para a implantação de um processo de gestão de vulnerabilidades.
Quais são as barreiras mais comuns encontradas nesse processo? Talvez a mais significativa seja a falta de apoio da alta gestão, pois ela é responsável pela liberação de recursos necessários para montar um processo adequado de gestão de vulnerabilidades. Um processo bem estruturado tipicamente requer novas ferramentas ou ferramentas de suporte, que têm um custo associado, além de um contingente de pessoas para trabalhar e cumprir cada etapa do processo. Dependendo da empresa, esse contingente precisa ser maior para dar suporte a todas as áreas de negócio. Portanto, o apoio da alta gestão é fundamental na estruturação de um processo de gestão de vulnerabilidades. Se esse apoio não existe, isso se torna uma grande barreira para o funcionamento adequado do processo.
A falta de comunicação é outro fator de dificuldade comum nas empresas. Ao desenvolver um processo de gestão de vulnerabilidades, é essencial que as vulnerabilidades e problemas de segurança identificados sejam reportados adequadamente. Problemas de comunicação podem dificultar a catalogação e identificação dessas vulnerabilidades, comprometendo o processo.
Outro ponto importante é a imaturidade ou falta de conscientização em segurança. Alguns profissionais, por imaturidade ou falta de conscientização, tendem a repetir o jargão "sempre funcionou assim e nunca tivemos problemas". Isso cria barreiras, muitas vezes por falta de maturidade e entendimento de que a gestão de vulnerabilidades é necessária para o aprimoramento dos produtos e serviços oferecidos por uma organização. Essa conscientização é frequentemente necessária antes de implementar um processo de gestão de vulnerabilidades.
Como vimos nesta aula, a cultura organizacional define se a gestão de vulnerabilidades será proativa, contínua, estratégica ou reativa, isolada e burocrática, dependendo da cultura da empresa, que pode ser mais ou menos dinâmica. Em outras palavras, a tecnologia pode ser a mesma, mas o resultado depende muito da forma como as pessoas se comportam no dia a dia e como aceitam as mudanças propostas, além das novas metodologias e ferramentas que farão parte do seu cotidiano de trabalho.
O curso Gestão de vulnerabilidades: estratégias e práticas de mitigação possui 191 minutos de vídeos, em um total de 55 atividades. Gostou? Conheça nossos outros cursos de Segurança em DevOps, ou leia nossos artigos de DevOps.
Matricule-se e comece a estudar com a gente hoje! Conheça outros tópicos abordados durante o curso:
Impulsione a sua carreira com os melhores cursos e faça parte da maior comunidade tech.
2 anos de Alura
Matricule-se no plano PLUS 24 e garanta:
Jornada de estudos progressiva que te guia desde os fundamentos até a atuação prática. Você acompanha sua evolução, entende os próximos passos e se aprofunda nos conteúdos com quem é referência no mercado.
Mobile, Programação, Front-end, DevOps, UX & Design, Marketing Digital, Data Science, Inovação & Gestão, Inteligência Artificial
Formações com mais de 1500 cursos atualizados e novos lançamentos semanais, em Programação, Inteligência Artificial, Front-end, UX & Design, Data Science, Mobile, DevOps e Inovação & Gestão.
A cada curso ou formação concluído, um novo certificado para turbinar seu currículo e LinkedIn.
No Discord, você participa de eventos exclusivos, pode tirar dúvidas em estudos colaborativos e ainda conta com mentorias em grupo com especialistas de diversas áreas.
Faça parte da maior comunidade Dev do país e crie conexões com mais de 120 mil pessoas no Discord.
Acesso ilimitado ao catálogo de Imersões da Alura para praticar conhecimentos em diferentes áreas.
Explore um universo de possibilidades na palma da sua mão. Baixe as aulas para assistir offline, onde e quando quiser.
Acelere o seu aprendizado com a IA da Alura e prepare-se para o mercado internacional.
2 anos de Alura
Todos os benefícios do PLUS 24 e mais vantagens exclusivas:
Luri é nossa inteligência artificial que tira dúvidas, dá exemplos práticos, corrige exercícios e ajuda a mergulhar ainda mais durante as aulas. Você pode conversar com a Luri até 100 mensagens por semana.
Aprenda um novo idioma e expanda seus horizontes profissionais. Cursos de Inglês, Espanhol e Inglês para Devs, 100% focado em tecnologia.
Para estudantes ultra comprometidos atingirem seu objetivo mais rápido.
2 anos de Alura
Todos os benefícios do PRO 24 e mais vantagens exclusivas:
Mensagens ilimitadas para estudar com a Luri, a IA da Alura, disponível 24hs para tirar suas dúvidas, dar exemplos práticos, corrigir exercícios e impulsionar seus estudos.
Envie imagens para a Luri e ela te ajuda a solucionar problemas, identificar erros, esclarecer gráficos, analisar design e muito mais.
Escolha os ebooks da Casa do Código, a editora da Alura, que apoiarão a sua jornada de aprendizado para sempre.
Conecte-se ao mercado com mentoria individual personalizada, vagas exclusivas e networking estratégico que impulsionam sua carreira tech para o próximo nível.
