Configurações incorretas afetam a segurança dos seus clientes

25 Abr 2025 · PUB · Internet 5 Comentários

As configurações incorretas nos sistemas digitais representam uma ameaça crescente à segurança, uma vez que até os erros mais pequenos podem potenciar ciberataques.

Deteção de configurações incorretas em ambientes híbridos e na cloud é incrivelmente difícil

Estas vulnerabilidades surgem quando as definições do sistema, da aplicação ou da rede não seguem as melhores práticas de segurança, tais como definições predefinidas desatualizadas ou falhas nos serviços Cloud, bases de dados ou firewalls. Estes erros podem expor os seus clientes a riscos graves, como o acesso não autorizado ou o roubo de informações sensíveis.

O impacto destas configurações incorretas é alarmante. De acordo com o Open Worldwide Application Security Project (OWASP), esta ameaça ocupa o quinto lugar na lista dos principais riscos de segurança, em comparação com o sexto lugar ocupado na edição anterior. Além disso, o OWASP identificou configurações incorretas em 90% das aplicações analisadas. A investigação da Microsoft revela que as configurações não otimizadas do software e dos dispositivos estão na origem de 80% dos ataques de ransomware.

Apesar dos esforços para aumentar a sensibilização para estas falhas, o problema persiste, especialmente com o aumento dos serviços na cloud. Um exemplo recente foi a diretiva emitida pela Agência de Cibersegurança e de Infraestruturas dos EUA (CISA), que exige que as agências estatais alinhem os seus ambientes Office 365 com as configurações seguras recomendadas.

A crescente complexidade dos sistemas distribuídos também desempenha um papel significativo na proliferação de configurações incorretas. Esta complexidade, associada a mal-entendidos sobre as especificações técnicas e os requisitos operacionais dos sistemas, complica ainda mais o seu trabalho como fornecedor de serviços geridos (MSP).

A deteção de configurações incorretas em ambientes híbridos e na cloud é incrivelmente difícil devido a fatores como a falta de visibilidade total, a utilização de configurações predefinidas que não são revistas regularmente e as alterações não autorizadas que podem não ser detetadas sem uma monitorização contínua. Para piorar a situação, os sistemas e as aplicações personalizadas incluem frequentemente configurações de auditoria ocultas ou difíceis, agravando a situação e dificultando a ação corretiva.

As consequências dessas fraquezas podem ser terríveis para as empresas de MSP que trabalham com vários ambientes interconectados que dependem de configurações seguras. Por um lado, as empresas podem enfrentar perdas financeiras devido a indemnizações pagas aos clientes afetados, processos judiciais e sanções regulamentares por não conformidade com regulamentos como o RGPD ou a HIPAA. Por outro lado, o impacto na reputação das configurações incorretas é significativo: a confiança dos seus clientes pode ser afetada, resultando na perda de contratos e oportunidades de negócio. Além disso, o tempo e os recursos necessários para mitigar estes problemas aumentam os seus custos operacionais, enquanto o risco de comprometer outros clientes em ambientes partilhados amplifica as consequências.

Para combater estes desafios, existem medidas eficazes que ajudam a reduzir os riscos. Uma estratégia abrangente deve incluir políticas de segurança sólidas, controlos de acesso bem definidos e procedimentos claros de resposta a incidentes. Ferramentas automatizadas, como a inteligência artificial, monitorizam potenciais configurações incorretas e alterações não autorizadas. Auditorias regulares e formação contínua garantem que as melhores práticas de segurança são implementadas de forma consistente.

A adoção destas medidas ajuda a evitar incidentes e posiciona-o a si e à sua empresa especializada em serviços MSP como uma referência de excelência e fiabilidade. Demonstrar a sua capacidade de gerir configurações complexas e mitigar riscos reforça a confiança dos seus clientes, cimentando as relações de longo prazo e abrindo novas oportunidades de negócio. Esta abordagem garante o sucesso operacional e reforça o seu papel como chave.

Acompanhe o Pplware no Google Notícias

Propor Revisão Proponha uma correção, faça uma sugestão

Autor: Pedro Pinto

Tags: configurações

Comentários5

Sérgio V. says:

26 de Abril de 2025 às 07:48

Em relação à worten nunca mais se soube nada. Os dados foram roubados e assunto abafou.

Responder
Tiago says:

26 de Abril de 2025 às 13:44

Não entendo por que o Centro Nacional de Cibersegurança, em vez de fornecer medidas práticas para melhorar a segurança nas empresas e templates para criação de planos, anda a publicar documentos com mais de 100 páginas cheios de teoria.

Existem grandes empresas que conseguem ter equipas dedicadas apenas à segurança e auditoria, onde o trabalho é distribuído entre colegas e, assim, conseguem fazer um trabalho mais meticuloso.

Contudo, pequenas empresas, com apenas 20 colaboradores, quatro servidores e algumas aplicações, não conseguem ter auditorias constantes nem corrigir vulnerabilidades com regularidade.

Também há empresas já com alguma dimensão que não querem alocar orçamento para esta área e, depois, acabam por pagar uma fortuna quando são atacadas — e mesmo assim voltam ao mesmo comportamento: 0€ de orçamento para segurança.

Parte da culpa também é dos MSPs e ISPs, que para ganharem contratos prometem assumir alguma responsabilidade pela segurança do cliente sem cobrar nada adicional. Quando surge um problema, andam todos a trabalhar como doidos para ajudar o cliente, mas, mais uma vez, depois de ultrapassado, o problema acaba esquecido.

Basicamente, a segurança é um ciclo repetitivo com dois cenários: 1º — Quem investe constantemente, faz análises e corrige vulnerabilidades; 2º — Quem não faz nada, sofre um ataque, corrige pontualmente e depois ignora novamente.

Tudo o que aprendi de segurança foi através de blogs e canais americanos no YouTube, porque em Portugal apenas se fala de “boas práticas” de forma muito genérica, e para realmente aprofundar o tema só pagando a empresas de formação e consultoria.

Responder
- Aziado says:
  
  26 de Abril de 2025 às 23:02
  
  +1
  
  Responder
- Utilizador says:
  
  29 de Abril de 2025 às 21:49
  
  O CNCS fez ambos e mais ainda: Documentos cheios de teoria, documentos práticos e formação.
  
  Quanto às empresas não poderem ou não quererem a legislação já está no forno e quase a sair. Quando as coimas começarem a chegar vais ver que os recursos aparecem
  
  Responder
  - Tiago says:
    
    5 de Maio de 2025 às 22:55
    
    Olá, Consegues colocar um ou dois links desses documentos práticos, para eu poder estudar?
    
    Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.