Jornais

A propósito das declarações de Maria José Morgado

Carlos Serrão:

Depois do mais recente episódio, da revelação de informação pessoal de um conjunto bastante significativo de efectivos da PSP, não deixa de ser curioso, que agora Maria José Morgado venha afirmar que os recursos periciais colocados ao dispor do Ministério Público sejam ridiculamente escassos e que a ameaça não é só portuguesa, mas globalizada.

E continua, uns parágrafos mais abaixo:

A segurança de um sistema é igual à segurança do seu elo mais fraco. Não importa quão segura é a rede. Se alguma aplicação desse sistema sofrer de vulnerabilidades que possam ser exploradas, então um atacante irá optar pelo caminho mais fácil – e estas vulnerabilidades aplicacionais podem [ajudar a] comprometer o próprio sistema, e os seus dados.

in Segurança (Web) em Portugal.

Não vou alongar-me em comentários, o Carlos já disse o que era (e é) relevante. Mas vou repetir e vincar a cor nalguns excertos que devem ser retidos:

  • Os recursos periciais colocados ao dispor do Ministério Público [são] ridiculamente escassos;
  • A segurança de um sistema é igual à segurança do seu elo mais fraco; e
  • Vulnerabilidades aplicacionais podem [ajudar a] comprometer o próprio sistema, e os seus dados.

Em relação ao primeiro ponto tenho que acrescentar mais uma ideia: Se as organizações não mantiverem registos dos acessos aos seus sistemas e aplicações, o Ministério Público não conseguirá analisar coisa alguma – são requisitos mínimos. É importante dotar o MP de meios eficazes mas as organizações também têm que fazer a sua parte.

Em relação ao segundo e terceiro pontos, volto a dizer o que já disse: É imprescindível definir um processo de gestão de vulnerabilidades, um processo recorrente, que inclua testes e correcções aos sistemas e aplicações em produção.

Podemos (e devemos) acrescentar outros controlos. Mas estes são os mínimos. E são eficazes. E devem ser realizados antes de começarmos a inventar modelos disto e daquilo, políticas assim e assado, coisas que são importantes (!!) mas que têm um tempo de desenvolvimento longo e são onerosas.

Em primeiro lugar os testes e as correcções. O resto, em seguida.