A fábula do “Penetration Test”
January 27, 2006 – 6:12 pmA fábula do “Penetration Test” (nascida de uma conversa divertidíssima com o Dimitri Abreu)
O Zé CSO está preocupado. Ele vê que a auditoria anda rondando, fala-se pelos corredores que a rede da empresa é um “queijo suiço”, a auditoria externa para a Sarbanes-Oxley chega no mês que vem. Ele sabe que se esses caras encontrarem problemas, “a coisa vai sujar para ele”. Além disso, o orçamento de segurança deste ano veio “do tamanho de um botão”. Caramba, como é possível ser CSO de uma empresa como essa?? Ele já recebeu diversos fornecedores mostrando aquela nova tecnologia, o tal do IPS, que vai resolver todos os problemas dele, mas não há dinheiro nem vontade para comprar. E aí, como é que ele vai descascar este abacaxi?
Ah! Mas esses consultores de segurança são mesmo muito bons! Afinal, eles sempre tem a solução na ponta da língua. Tudo que ele precisa fazer agora é um “Penetration Test”! Os super-hackers vão invadir sua rede, indicar vários problemas que, é claro, só podem ser resolvidos com aquela caixinha! Justificar a compra, com aquele relatório que se espremer sai sangue, vai ser mais do que fácil!
A contratação do teste é bem fácil, é só usar a desculpa de que “a Sarbanes exige que façamos um teste”. Agora é só esperar o relatório salvador…
…que chega. Antes de abrir ele pergunta para o fornecedor como foi. O cara, sem pestanejar, diz: “você nem imagina até onde nós fomos!”. E ele ataca o relatório feliz da vida.
“Humm…pegaram a senha do e-mail do presidente! Fizeram uma cópia da base de dados de produção! Fantástico, isso justifica qualquer investimento!” Aí ele pula o resto da papelada e vai direto para a recomendação, aonde ele espera encontrar uma foto bonitinha do produto mágico e salvador…
“…opa! Como assim? Awareness? Treinamento? Campanha? Monitoração? Que bobagem é essa!? Deixa eu voltar lá e ver como eles entraram!”
E lá está descrito, de forma bem clara, como a secretária do presidente foi simpática ao passar a senha dele por telefone. Ou como o DBA abriu feliz da vida aquele link que eles mandaram por e-mail. “CADÊ A LISTA COMPLETA DE VULNERABILIDADES DA MINHA REDE???????????? O QUE EU FAÇO AGORA????”
Hoje Zé CSO tem seu currículo nos principais site de empregos do país. E, depois de anos, voltou a frequentar eventos de segurança e resolveu que vai encarar aquela certificação de segurança que ele dizia “que só era importante para o pessoal técnico”. Boa sorte, Zé CSO!
