Já ouviu falar em Assessment de Segurança (auditoria de processos cyber) e Penetration Testing (teste de penetração ou pentest)? Não? A gente te explica como funciona!
Para começar, ambos são serviços relacionados e tem por finalidade aumentar a segurança cibernética das empresas, porém não confunda, eles possuem funções diferentes. Conheça algumas delas:
✨ Assessment de Segurança:
– É uma avaliação dos controles que mitigam riscos associados a processos específicos de cibersegurança;
– Muitas vezes é conduzido por meio de entrevistas, solicitações de bases e amostras, e testes de controles;
– Identifica e lista pontos fracos nos processos que conectam as pessoas à tecnologia;
– Orienta o processo de revogação de acessos que pode até ser manual e feita por alguém do RH quando um colaborador é desligado, porém se for automática o risco de erro humano é menor;
– Recomenda-se ser feito uma vez por ano, ou após alguma mudança crítica na organização como uma aquisição ou reorganização de times.
✨ Já o Penetration Testing (pentest):
– É a prática de testar um sistema de computador, rede ou aplicativo da Web;
– Os testes de penetração são projetados para identificar não apenas as fraquezas, mas também explorá-las;
– Demonstra justamente como um hacker cibernético se infiltraria em seus sistemas e o quê ele poderia acessar;
– Demonstra de forma mais exata quais dados foram comprometidos;
– Na modalidade whitebox pode ser conduzido com conhecimento da infraestrutura alvo e simulando ataque de um insider ou no modo blackbox onde é conduzido sem conhecimento algum, assim simulando um atacante externo;
– Recomenda-se ser feito uma ou duas vezes por ano, ou após alguma mudança crítica em um sistema ou infraestrutura.
✨ Qual devo escolher?
O essencial para ter um esquema de cibersegurança completo é possuir os dois recursos, pois eles são complementares. Embora um pentest seja mais imediato em revelar as vulnerabilidades da sua infraestrutura, é muito difícil remediá-las a longo prazo sem que haja um processo robusto que conecte pessoas às tecnologias de segurança.
Conseguiu entender a diferença? Se tiver mais dúvidas, comente aqui, será um prazer contribuir para o seu aprendizado e desenvolvimento😉
Pentest ou Assessment de Segurança?
