Preocupada em adotar uma política preventiva na área de segurança da informação, especialmente nos sites institucional e de vendas, a Gol Linhas Aéreas Inteligentes comemora o êxito na parceria de trabalho firmada com a BSA Brasil, fornecedora de soluções de TI e outsourcing. O projeto, iniciado em abril de 2008, tem como principal objetivo evitar perdas financeiras provocadas pela ação de crackers, assim como garantir a integridade das aplicações via web da Gol.
Para atender essa necessidade, a empresa escolheu a solução IBM Rational AppScan, ferramenta de scanning automatizado, que avalia e corrige o nível de vulnerabilidade das aplicações web. “Sempre tivemos a preocupação de manter os controles de segurança, mas sentíamos falta de uma ferramenta que nos informasse se nossas ações eram ou não bem-sucedidas. Mudamos nosso perfil e deixamos de lado a postura reativa para adotar um modelo preventivo”, explica Diego Ramirez Cardenas, arquiteto de soluções da área de TI da Gol. O técnico ressalta que, embora a empresa nunca tenha registrado graves incidentes de segurança, era importante incrementar a integridade do site de vendas.
A implantação da ferramenta abrangeu as fases de teste e produção. Entre os meses de julho e agosto, foram feitas as provas de conceito, que contaram com o suporte e apoio da BSA Brasil e da IBM. Em setembro foram realizados os primeiros testes e a compra do aplicativo pela Gol. Já a compra da licença do produto e o funcionamento efetivo dentro do ambiente da empresa ocorreram entre outubro e novembro. “Hoje, o processo de instalação e implantação do aplicativo está sendo realizado gradativamente pela equipe da própria Gol. Essa etapa da transferência do conhecimento é a fase final desse projeto”, explica Fernando Gandara, diretor da vertical Technology Information System da BSA Brasil.
A ferramenta AppScan permite a realização de scanning nas aplicações web, além de manter uma base de conhecimento atualizada com as principais vulnerabilidades encontradas em aplicações web, sendo ainda aderente a padrões internacionais de segurança (compliance). De acordo com Cardenas, um dos principais atrativos da solução é a possibilidade de definir o grau da varredura a ser realizado, que pode variar em função do perfil da aplicação. O AppScan gera recursos de correções avançados, o que inclui uma lista de tarefas para a reparação de vulnerabilidades. Outra vantagem diz respeito aos relatórios gerados, que trazem descrições detalhadas das vulnerabilidades encontradas, bem como as recomendações de correção.
Além de trabalhar de forma preventiva, outro benefício do AppScan é evitar a incidência de fraudes, eliminando a vulnerabilidade e o risco de ataques nas aplicações web da Gol. “Usamos o AppScan em muitas outras aplicações web da Gol, que funcionam em ambientes considerados mais controlados. É possível tratar qualquer tipo de vulnerabilidade”, diz. Cardenas adianta que há perspectivas de que o AppScan também seja adotado na camada WebService, responsável pela venda de passagens entre todas as agências de turismo credenciadas pela Gol. “Embora não seja possível mensurar exatamente o ROI, ao incrementarmos a segurança, especialmente na área de vendas on-line, diminuímos as chances de fraude. Isso, por si só, gera ganhos para a empresa”, explica.
