Com a finalidade de evitar perdas financeiras provocadas pela ação de "crackers" e garantir a integridade das aplicações via web, a empresa aérea GOL usa, desde agosto do ano passado, a solução IBM Rational AppScan, que avalia e corrige o nível de vulnerabilidade. O projeto é feito a partir de um contrato assinado com a BSA Brasil, que é responsável pela consultoria, instalação e implantação da ferramenta.
O trabalho teve início em abril de 2008 e a implantação da ferramenta abrangeu as fases de teste e de produção. Entre os meses de julho e agosto foram feitas as provas de conceito, que contaram com o suporte da IBM. Em setembro, durante duas semanas, foram realizados os primeiros testes e a compra do aplicativo pela companhia aérea. Já a aquisição da licença do produto e o funcionamento efetivo dentro do ambiente da empresa ocorreram entre outubro e novembro.
"Hoje, o processo de instalação e implantação do aplicativo está sendo realizado gradativamente pela equipe da Gol. Essa etapa da transferência do conhecimento é a fase final do projeto", diz Fernando Gandara, diretor da vertical TIS da BSA.
A ferramenta permite a realização de scanning nas aplicações web, além de manter uma base de conhecimento atualizada com as principais vulnerabilidades encontradas em aplicações web. Ela também é aderente a padrões internacionais de segurança. De acordo com Diego Ramirez Cardenas, arquiteto de Soluções da área de TI da empresa aérea, um dos principais atrativos da solução é a possibilidade de definir o grau da varredura a ser realizado, que pode variar em função do perfil da aplicação.
Além de fornecer cobertura aos sites, o AppScan gera recursos de correções avançados, o que inclui uma lista de tarefas para a reparação de vulnerabilidades. Outro recurso diz respeito aos relatórios gerados, que trazem descrições detalhadas das vulnerabilidades encontradas, bem como as recomendações de correção.
Além de trabalhar de forma preventiva, o AppScan promete evitar a incidência de fraudes, eliminando a vulnerabilidade e o risco de ataques nas aplicações web. "Embora não seja possível mensurar exatamente o retorno sobre o investimento, ao incrementarmos a segurança, especialmente na área de vendas online, diminuímos as chances de fraude. Isso, por si só, gera ganhos para a empresa", explica Cardenas.
"Sempre tivemos a preocupação de manter os controles de segurança, mas sentíamos falta de uma ferramenta que nos informasse se nossas ações eram ou não bem-sucedidas. Mudamos nosso perfil e deixamos de lado a postura reativa para adotar um modelo preventivo", finaliza.
- Prevenção
