Mito 5: Aplicações internas sem falha

Falhas em aplicações internas não são tão importantes

Uma aplicação web de uso interna (intranet) que não é publicada na internet talvez seja menos vulnerável que um website acessível 24 horas por dia por milhões de internautas. Mas se ela tiver falhas de segurança haverá vulnerabilidades exploráveis por qualquer um que puder ter acesso à rede corporativa, e como já vimos antes, a partir de qualquer identidade de usuário válida, bastando para isso um simples navegador de internet e um mínimo de informação.

Some-se a esta possibilidade uma porta aberta na infraestrutura de acesso à rede corporativa, e o cenário de risco torna-se ainda mais crítico.

Considere também que o navegador do usuário interno é usado tanto para acessar informações sensíveis das aplicações corporativas, como para navegar livremente pela internet, ou seja, esta já pode ser  uma porta de acesso que pode ser controlada por um Agente Malicioso a partir da web, e sem o conhecimento daquele usuário interno.

Se a aplicação corporativa tiver vulnerabilidades exploráveis, então sempre haverá o risco de ser acessada tanto internamente como externamente, apesar da presença de recursos de segurança na infraestrutura da rede, como o uso de firewall por exemplo, como já falamos antes.

Além do mais, as informações tratadas pelas aplicações internas são normalmente muito mais sensíveis, pois contém dados que sustentam a operação ou o planejamento estratégico, como é o caso de sistemas de gestão (ERP), de gerenciamento de recursos humanos (RH), gestão de compras e contratos (Procurement), relação com Clientes (CRM), gestão de vendas, etc.

Aplicações internas precisam ser igualmente ou prioritariamente tratadas como críticas, e, além de devidamente protegidas pelos recursos de segurança da infraestrutura, devem principalmente estar isentas de vulnerabilidades exploráveis a partir do uso de navegadores web.