A velocidade de lançamentos de novos produtos está cada dia maior e proporcional a exigência do mercado por agilidade e qualidade. Consequentemente, o planejamento estratégico e o foco se voltam para essas novas demandas, mas se deparam com muitos sistemas legados em produção no ambiente tecnológico das empresas. Muitas delas mantêm esses sistemas operantes por motivos de compatibilidade, pelo custo elevado para atualizá-los, por exemplo, mas independente do motivo, é quase certo que existem sistemas legados no ecossistema de uma empresa.

A partir dessa reflexão, a dúvida que se estabelece é: e a segurança desses sistemas legados? Ainda, considerando que os sistemas legados são sempre mais vulneráveis e sempre presentes no planejamento de segurança elaborado pelos CISO`s, por que não incluir a evolução do legado no planejamento estratégico? Afinal, é comum que tais sistemas usem produtos que já não possuem suporte do fabricante (“End-Of-Life”), o que aumenta a probabilidade de estarem expostos a exploits conhecidos ou à vulnerabilidade zero day. Por isso, podemos ter inúmeros tipos de vazamento de informações oriundos de sistemas legados. No caso público, divulgado em 2013, a Adobe passou por essa experiência:

Adobe 2013¹ – Devido a um ataque que consistiu na invasão de um sistema legado da Adobe, a empresa teve cerca de 152 milhões de nomes e senhas de usuários expostos, além de 2,8 milhões números de cartões de crédito. A Adobe foi processada por vários estados americanos e pagou multas em decorrência do caso.
Além dos prejuízos de imagem e financeiros para as empresas que sofrem a exposição danosa de seus dados, a Lei Geral de Proteção de Dados (LGPD), no que tange aos temas de evasão dos dados de cliente, é bastante rígida na punição de empresas que tenham sido negligentes com a segurança. Por isso, é necessário atentar-se à falta de segurança desses sistemas e estabelecer um plano de ação para promover a proteção dos dados.
Vamos pensar nas respostas das seguintes perguntas sobre os sistemas legados de sua empresa:

1. As informações pertinentes aos clientes estão nesses sistemas?
2. Quem pode acessar essas informações?
3. Há tecnologias da década de 1990? Exemplo: C/C++, Java (1.4 a 1.7), PHP, Perl e/ou Net/C#.

Essas três questões são simples, mas são relevantes no processo para mapear os riscos, impactos e definir prioridades, possibilitando aos CISO’s e gestores nortearem um panorama de alto ou baixo risco para seus sistemas. Os sistemas legados são integrados ao negócio e devem fazer parte da estratégia de segurança da informação.
Definido uma avaliação precisa, é hora de avaliar e descobrir gaps e vulnerabilidades, e em seguida, aplicar as soluções de correção ou mitigação para minimizar possíveis exposições. A modernização dos sistemas contribui para a transformação digital e não deve ser descartada.

¹https://oglobo.globo.com/economia/vazamento-de-152-milhoes-de-contas-de-usuario-da-adobe-pode-ter-sido-maior-da-historia-10725973

Fernando Oliveira

Fundador e CTO na SEC4YOU.