Um guia para a política de gestão de patches
Publicado em: 3 Dez 2018
Última modificação em: 8 Set 2025
Não há como negar que o cibercrime está a piorar todos os anos. Basta olharmos para os títulos dos jornais para lermos sobre a mais recente empresa que foi violada, as organizações derrubadas por ataques de ransomware incapacitantes, os CEOs que foram vítimas de um ataque de spear phishing e as infra-estruturas críticas que foram comprometidas por ataques de estados-nação. Parece que a lista não tem fim.
Prevê-se que o custo total da cibercriminalidade atinja 6 biliões de dólares até 2021, e o O Fórum Económico Mundial classificou o cibercrime como um dos três principais riscos que o mundo enfrentará este ano. As estatísticas podem ser avassaladoras e, para muitas organizações, a questão que se coloca é “como melhorar a nossa cibersegurança e por onde começar?
Uma das primeiras áreas que uma organização deve procurar proteger é o seu software. Os cibercriminosos estão continuamente a explorar vulnerabilidades nos sistemas operativos e em aplicações comuns, incluindo o Microsoft Office, o Internet Explorer, o Adobe e o Java, para lançar ataques direcionados.
Foi exatamente assim que os criminosos cibernéticos conseguiram maiores ciberataques da história recente. Em 2017, o ataque WannaCry, que infectou mais de 200 000 computadores em 150 países, e a violação da Equifax, que expôs os dados de mais de 143 milhões de americanos, resultaram ambos da exploração por criminosos de vulnerabilidades não corrigidas em servidores com Windows 7 e Windows 8.
Em ambos os casos, foi disponibilizada uma correção para estas vulnerabilidades nos meses que antecederam os ataques, mas as organizações não actualizaram o seu software.
À medida que os cibercriminosos se tornam mais avançados nos seus métodos de ataque, as organizações vão ficar mais expostas a estas ameaças, a menos que procurem proactivamente quaisquer vulnerabilidades no seu software e as corrijam imediatamente.
O que é a Gestão de Patches?
A gestão de patches é a prática de atualizar o software para resolver as vulnerabilidades que os cibercriminosos exploram. Um patch é essencialmente um pedaço de código que é instalado num programa de software existente para corrigir um problema, ou “bug”, como é normalmente referido. Também é utilizado para melhorar a estabilidade geral de uma aplicação ou para corrigir uma vulnerabilidade de segurança.
Um exemplo comum de um patch é uma atualização do Windows. Estas actualizações podem ser emitidas para corrigir vulnerabilidades de segurança, remover caraterísticas desactualizadas, atualizar controladores ou melhorar a funcionalidade geral para uma melhor experiência do utilizador.
Lê o nosso Guia definitivo sobre phishing
A maioria dos programas de software emite várias correcções após o seu lançamento inicial, pelo que as organizações precisam de aplicar continuamente essas correcções para garantir que os seus sistemas estão protegidos.
Quais são os perigos se o software não for corrigido?
Uma vulnerabilidade de software é uma falha de segurança ou um ponto fraco encontrado num sistema operativo ou num programa de computador. Os piratas informáticos procuram continuamente explorar estas fraquezas, inserindo código que visa uma vulnerabilidade específica.
O código será normalmente carregado com malware que pode infetar um sistema sem que o utilizador se aperceba. O software malicioso pode então ser utilizado para roubar dados, espiar as actividades online ou abrir a porta a um grande ataque de ransomware.
De acordo com a Gartner, 99% das explorações são baseadas em vulnerabilidades que já são conhecidas pelos profissionais de segurança há pelo menos um ano, e a maioria delas tem correcções que podem resolver estes problemas.
Os perigos de ignorar correcções críticas de software podem ser catastróficos para uma organização, como vimos nos recentes ciberataques.
Porque é que as organizações precisam de uma política de gestão de patches?
Os sistemas não corrigidos fornecem aos hackers um ponto de entrada fácil nas redes empresariais. Os patches são essenciais para manter as máquinas actualizadas, estáveis e protegidas contra malware e outras ameaças.
A implementação de uma política eficaz de gestão de patches permitirá às organizações ter um melhor controlo sobre os seus recursos de dados, garantindo que estão alinhados com os requisitos regulamentares. Também assegura uma resposta rápida a quaisquer incidentes cibernéticos que possam ocorrer.
Estima-se que uma boa gestão de patches evita até 85% de todos os ciberataques, pelo que as organizações não podem dar-se ao luxo de serem complacentes na sua abordagem à aplicação regular de patches.
O que deve incluir uma política de gestão de patches?
Uma política eficaz de gestão de patches terá de se basear nos seguintes critérios.
1. Determina quais são os adesivos adequados para a tua empresa
Cada organização é diferente, por isso é vital que o teu remendo A política de gestão de segurança aborda as questões de segurança e as actualizações que são relevantes para a sua indústria específica. É importante ter uma pessoa ou equipa designada que seja responsável pela segurança e gestão dos teus sistemas.
2. Testes
É vital testar a correção assim que for aplicada. Um patch defeituoso pode causar problemas com o sistema que está a ser atualizado ou pode ter impacto noutras funções comerciais críticas. Para reduzir o risco de ocorrência de problemas, cada correção deve ser testada num ambiente controlado antes de ser aplicada a todos os computadores da rede. Como precaução adicional, os lançamentos de correcções devem ser escalonados por departamentos específicos para minimizar o risco de qualquer perturbação.
3. Mantém relações com os principais fornecedores
Os fornecedores de sistemas operativos e de redes lançam e distribuem regularmente informações sobre problemas de segurança e correcções de produtos. A Microsoft emite as suas actualizações de segurança na segunda terça-feira de cada mês, normalmente designada por terça-feira de correcções. Os fornecedores lançam continuamente correcções em função das falhas que encontram, pelo que é importante que as organizações mantenham um contacto estreito com estes fornecedores para se manterem a par das últimas actualizações.
4. Implementa patches num período de tempo específico
A gestão eficaz de patches é uma atividade sensível ao tempo. Os piratas informáticos são incansáveis na sua tentativa de explorar as vulnerabilidades mais recentes, pelo que as organizações têm de estar atentas e emitir actualizações de correcções logo que estas estejam disponíveis.
A aplicação de patches de segurança no momento certo reduz o risco de uma violação de dados e todos os problemas associados, como roubo de dados, perda de dados, danos à reputação e multas avultadas em resultado do não cumprimento dos requisitos regulamentares.
5. Respeita a regulamentação
Para demonstrar a conformidade com os regulamentos, as organizações precisam de mostrar que tomaram todas as medidas necessárias para proteger os seus sistemas. Os auditores podem exigir relatórios sobre quais os patches aplicados e quando, pelo que é vital que as organizações tenham os sistemas corretos para documentar com precisão quais os patches que foram emitidos.
6. Custo
O custo de não seguir bons processos de gestão de patches pode ser grave. No rescaldo imediato de um ataque, as organizações podem perder o acesso a sistemas empresariais críticos, o que terá impacto na produtividade. Dependendo da escala da violação, as organizações podem então enfrentar graves penalizações financeiras, para além de uma queda no preço das acções, perda de clientes e danos à reputação.
A crescente sofisticação e o crescimento do cibercrime significam que as empresas precisam de ter os sistemas mais fortes para combater esta ameaça em constante evolução. Para garantir o envolvimento e a formação do pessoal, criámos a conteúdos de melhor qualidade sobre segurança cibernética e conformidade disponíveis no mercado. Entra em contacto connosco para obteres mais informações sobre como podemos ajudar protege a tua organização.