As organizações enfrentam ameaças iminentes de segurança cibernética devido à supervisão inadequada dos ativos de TI

As organizações enfrentam ameaças iminentes de segurança cibernética devido à supervisão inadequada dos ativos de TI

O ITAM não é algo único; é um processo contínuo que requer avaliação e ajuste regulares para se alinhar às necessidades de negócios em evolução.

RIEGELSVILLE, Pensilvânia (PRWEB) 18 de julho de 2023

O gerenciamento de ativos de TI (ITAM) utiliza informações financeiras, contratuais e de inventário para monitorar e tomar decisões estratégicas em relação aos ativos de TI. Seu principal objetivo é garantir a utilização eficiente e eficaz dos recursos de TI. Ao reduzir o número de ativos em uso e prolongar sua vida útil, o ITAM ajuda a evitar atualizações dispendiosas. Compreender o custo total de propriedade e melhorar a utilização de ativos são aspectos integrantes do ITAM.(1) Walt Szablowski, fundador e presidente executivo da Eracent, que fornece visibilidade completa das redes de seus grandes clientes empresariais há mais de duas décadas, aconselha: “ITAM não é algo definitivo; é um processo contínuo que requer avaliação e ajuste regulares para se alinhar às necessidades de negócios em evolução. Desempenha um papel crucial na estratégia mais ampla de segurança cibernética e deve ser perfeitamente integrado nos processos de gestão de serviços de TI e na estrutura de gestão de riscos de uma organização.”

Os ativos de TI incluem hardware e software, como sistemas operacionais, computadores e servidores. Os ativos podem ser “tangíveis” (dispositivos) ou “intangíveis” (software). O gerenciamento de ativos de TI envolve identificar, rastrear e manter ativos individuais por meio de atualizações regulares, resolver problemas de funcionalidade, fornecer lembretes de renovação de assinatura e garantir que os ativos de TI sejam substituídos ou atualizados quando se tornarem obsoletos e incapazes de receber atualizações de segurança.(2)

O gerenciamento de software e hardware de TI inclui a identificação e gerenciamento de vulnerabilidades cibernéticas. Todos os ativos têm vulnerabilidades de segurança cibernética, pelo que a gestão de ameaças cibernéticas é essencial. Um novo processo de identificação de vulnerabilidades de software de código aberto associadas ao software adquirido está contido em uma Lista de Materiais de Software (SBOM) que agora faz parte da documentação fornecida pelos editores de software.

Uma lista de materiais de software (SBOM) é um inventário abrangente dos componentes, bibliotecas e módulos necessários para construir um software específico e seus respectivos relacionamentos na cadeia de suprimentos. Estudos revelam que 37% do software instalado não é utilizado. A remoção de software e hardware não utilizados diminui as vulnerabilidades e evita gastos desnecessários. Ao reduzir a superfície de ataque, a exposição geral da segurança é minimizada.(3)

O ITAM vai além do inventário de ativos, aproveitando os dados capturados para aumentar o valor do negócio. Reduz custos, elimina desperdícios e melhora a eficiência, evitando aquisições desnecessárias de ativos e otimizando os recursos atuais. O ITAM permite migrações, atualizações e mudanças mais rápidas e precisas, aumentando a agilidade organizacional.(4)

O software de código aberto (OSS) é amplamente utilizado no desenvolvimento de aplicativos modernos. No entanto, o relatório Open Source Security and Risk Analysis (OSSRA) de 2023, que examina as vulnerabilidades e conflitos de licença encontrados em cerca de 1,700 bases de código em 17 setores, revela riscos operacionais significativos. Um número preocupante de bases de código contém componentes OSS inativos que não receberam atualizações ou atividades de desenvolvimento por pelo menos dois anos. Isso indica falta de manutenção e deixa o software em risco. O relatório mostra que uma elevada percentagem, 88% a 91%, de bases de código estão desatualizadas, contêm componentes inativos ou não receberam nenhuma atividade de desenvolvimento recente.(5)

O software de código aberto está sujeito às leis de direitos autorais e seu uso em um aplicativo exige que as organizações cumpram os termos de licença associados. Para garantir a conformidade, muitas empresas dispõem de recursos jurídicos dedicados ou de pessoal com conhecimentos em questões de código aberto. Usar software de código aberto sem cumprir os requisitos de licença pode levar a infrações e responsabilidades legais. Com o código aberto compreendendo aproximadamente 80% dos aplicativos modernos, as organizações devem ser cautelosas com o uso não divulgado de código aberto. Os proprietários de direitos de autor, bem como as organizações sem fins lucrativos que apoiam o movimento do software de código aberto, podem intentar ativamente ações legais contra violações, o que pode causar danos financeiros e à reputação.(6)

As licenças de código aberto vêm em dois tipos principais: permissivas e copyleft. As licenças permissivas exigem atribuição ao desenvolvedor original com requisitos adicionais mínimos, enquanto as licenças copyleft, como a Licença Pública Geral (GPL), promovem o compartilhamento de código, mas trazem riscos para o software comercial. As organizações confiam nos SBOMs para navegar em cadeias de fornecimento de software complexas, identificar pontos fracos, rastrear o uso de código aberto e garantir a conformidade das licenças. A inclusão de licenças no SBOM ajuda as organizações a manter um inventário abrangente e a reduzir responsabilidades legais. O não cumprimento das licenças de código aberto pode resultar em disputas legais e perda de direitos de propriedade intelectual. A inclusão de licenças em um SBOM ajuda as organizações a promover transparência, confiança e conformidade nas cadeias de fornecimento de software.(7)

O software de código aberto tornou as cadeias de abastecimento mais complexas e menos transparentes, aumentando o potencial de ataques cibernéticos. O Gartner prevê que até 2025, 45% das organizações em todo o mundo terão sofrido ataques na cadeia de fornecimento de software. É importante manter a visibilidade do uso de software de código aberto e abordar prontamente quaisquer áreas de vulnerabilidade identificadas.(8) As equipes de gerenciamento de ativos de software devem fazer parte e contribuir para suas equipes de segurança cibernética. Ao quebrar estes dois silos, tornam-se uma equipa coesa de gestão de riscos. E ao adquirir software ou contratar alguém para construí-lo, eles devem garantir um SBOM, que é um componente vital da gestão e redução de riscos.

O gerenciamento do ciclo de vida rastreia todos os aspectos da propriedade de ativos e licenças, desde a aquisição até o descarte. Ferramentas de gerenciamento de serviços de TI (ITSM), bancos de dados de gerenciamento de configuração (CMDBs) e ferramentas de gerenciamento de ativos de software (SAM) não são suficientes para um gerenciamento abrangente do ciclo de vida. Estas soluções carecem dos detalhes necessários e resultarão em resumos de propriedade incompletos, limitando a capacidade de maximizar o valor dos ativos e minimizar os custos. Para alcançar um gerenciamento eficaz do ciclo de vida, as organizações devem rastrear todos os ativos e licenças em seu ambiente de TI. Ao manter um repositório dedicado, eles estabelecem uma linha de base confiável para cada ativo e licença.(9)

Eracent Ciclo de Vida ITMC™ fornece gerenciamento abrangente de ativos do ciclo de vida para todos os ativos e licenças, fornecendo rastreamento contínuo desde o planejamento e aquisição até a atualização e disposição. Os dados capturados no ITMC Lifecycle fornecem uma base para muitas atividades, incluindo solicitações de usuários finais, compras, SAM, gerenciamento do ciclo de vida de hardware, ITSM, segurança de rede e endpoint, fluxos de trabalho automatizados, orçamento, planejamento e muito mais. Além disso, o sistema facilita o rastreamento, relatórios e alertas automáticos para contratos, acordos e transações financeiras.

Szablowski observa: “É como o oeste selvagem lá fora, do ponto de vista do gerenciamento de ativos de TI. Há um elemento subversivo. A ideia é que se o software veio de uma fonte como a Microsoft, ele deve estar pronto para uso. Mas pode haver algo ali que pode ser uma bomba-relógio do ponto de vista da segurança. E se sua equipe interna de desenvolvimento de aplicativos ou um fornecedor contratado usar o tipo de licença errado, sua empresa pagará um preço alto. É uma verdadeira caixa de Pandora. Mas, neste caso, você realmente precisa olhar por baixo da tampa.”

Sobre a Eracent

Walt Szablowski é o fundador e presidente executivo da Eracent e atua como presidente das subsidiárias da Eracent (Eracent SP ZOO, Varsóvia, Polônia; Eracent Private LTD em Bangalore, Índia e Eracent Brasil). A Eracent ajuda seus clientes a enfrentar os desafios de gerenciamento de ativos de rede de TI, licenças de software e segurança cibernética nos ambientes de TI complexos e em evolução de hoje. Os clientes corporativos da Eracent economizam significativamente em seus gastos anuais com software, reduzem seus riscos de auditoria e segurança e estabelecem processos de gerenciamento de ativos mais eficientes. A base de clientes da Eracent inclui algumas das maiores redes corporativas e governamentais e ambientes de TI do mundo. Dezenas de empresas da Fortune 500 confiam nas soluções da Eracent para gerenciar e proteger suas redes. Para saber mais, visite https://eracent.com/.

Referências:

1. O que é gestão de ativos (ITAM)?. IBM. (nd). https://www.ibm.com/cloud/blog/it-asset-management

2. Trovato, S. (2022, 28 de dezembro). O que é gestão de ativos?. Forbes. https://www.forbes.com/advisor/business/it-asset-management/

3. Eracente. (2018, 19 de junho). A ligação entre segurança cibernética e Itam. Eracente. https://eracent.com/the-linkage-between-cybersecurity-and-itam/

4. Chouffani, R., Holak, B., McLaughlin, E. (2022, 18 de abril). O que é gestão de ativos (ITAM)?. CIO. https://www.techtarget.com/searchcio/definition/IT-asset-management-information-technology-asset-management

5. [relatório do analista] relatório de segurança e análise de código aberto. Sinopse. (nd). https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?intcmp=sig-blog-sctrust

6. 08, BTMJ, Autores, Micro; Research, T., Trend Micro, Research, Us, C., Subscribe. (2021, 8 de julho). Como navegar pelos riscos de licenciamento de código aberto. Tendência Micro. https://www.trendmicro.com/en_us/research/21/g/navigating-open-source-licensing-risk.html

7. Interlink. (2023, 12 de junho). Licenças de código aberto em sboms. Médio. https://medium.com/@interlynkblog/open-source-licenses-in-sboms-9ee6f6dc1941

8. Callinan, M. (2022, 31 de agosto). Estabelecendo confiança na sua cadeia de fornecimento de software com um SBOM. Canal ITAM. https://itamchannel.com/establishing-trust-in-your-software-supply-chain-with-an-sbom/

9. AppStorePlus PG1 final LR – eracente. (nd). https://eracent.com/wp-content/uploads/2020/09/ITMCLifecycle-data-sheet-0820-IAITAM2020.pdf    

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
• Fonte: https://www.prweb.com/releases/organizations_face_looming_cybersecurity_threats_due_to_inadequate_it_asset_oversight/prweb19446964.htm