image
Avaliação de Controles (Control Assessment)

Avaliação de Segurança de Firewall

Este serviço de avaliação de boas práticas de segurança tem como objetivo realizar uma análise técnica das configurações e regras de segurança dos equipamentos de firewall, com o propósito de identificar se estão em conformidade com as políticas de segurança, bem como detectar oportunidades de melhoria em alguns de seus componentes ou elementos de configuração, para os quais são gerados planos de recomendações de remediação correspondentes.

São revisados, no mínimo:

  • Revisão da documentação associada ao equipamento.
  • Análise de registros (Logs).
  • Análise de IPS.
  • Análise de VPN.
  • Análise de resultados e desenvolvimento de relatórios.
  • Recertificação de remediação.
image
image

Avaliação de Segurança de Datacenter

Este serviço de avaliação de boas práticas de segurança tem como objetivo realizar uma análise técnica das características físicas e operacionais do Datacenter, contrastadas com normas técnicas para este tipo de infraestrutura (TIER), com o propósito de identificar oportunidades de melhoria em alguns de seus componentes, seja em níveis de configuração ou na sua disposição física, para os quais são gerados planos de recomendações de remediação.

image

Avaliação de Segurança de Banco de Dados

Realizar uma análise técnica dos controles de acesso à informação e da integridade dos bancos de dados, com o objetivo de identificar oportunidades de melhoria em alguns de seus componentes em níveis de configuração ou manutenção. Este serviço de avaliação de boas práticas de segurança gera planos de recomendações de remediação correspondentes.

Os seguintes aspectos são revisados:

  • Revisão dos controles de acesso.
  • Revisão da integridade dos bancos de dados e suas tabelas.
  • Revisão de contas e perfis de usuários.
  • Revisão do sistema operacional.
image

Avaliação de Desenvolvimento de Código Seguro

Realizar um modelo de ameaças típico ajuda a produzir uma lista priorizada de melhorias de segurança nos requisitos, design e implementação das aplicações.

Com nosso serviço de criação de modelo de ameaças:

  • As equipes de desenvolvimento terão requisitos de segurança adaptados às fases de design.
  • Contarão com uma visão dinâmica do risco adaptada a ambientes ágeis.
  • Poderão otimizar a segurança das aplicações identificando objetivos e vulnerabilidades.
  • Serão definidas, por meio de uma plataforma automática, as contramedidas para prevenir ou mitigar os efeitos das ameaças ao sistema.
  • Apoiará a tomada de decisões sobre os riscos de segurança nas aplicações.

Os resultados podem ser integrados às ferramentas que as equipes de desenvolvimento utilizam para controle de tarefas e tickets, permitindo o acompanhamento dos riscos e a atualização do status dos controles aplicados de maneira automática e em tempo real.

Análise de Código Estático e Dinâmico

Para diferenciar ambos os tipos de análise, é importante esclarecer que a análise de código é um processo de revisão que busca identificar problemas de funcionamento no código e melhorar seu desempenho.

Esta análise pode ser realizada de duas formas: análise dinâmica ou estática do código.

  • A análise estática é feita sem executar o código. Como não exige execução, permite detectar erros em fases iniciais, economizando tempo nas fases posteriores do desenvolvimento.
  • A análise dinâmica é realizada enquanto o código está em execução. É mais lenta e requer um processo completo de testes, mas permite identificar muitos erros que passam despercebidos em análises estáticas.

Ambos os tipos de análise de código permitem processos completos de testes. Existem diferentes tipos de testes projetados especificamente para análises dinâmicas e estáticas. No caso da análise estática, recomenda-se um bom processo de revisão e manutenção da documentação, especialmente em projetos de grande escala.

image

Análise de Brechas de Conformidade Normativa e Regulatória

Realizamos uma análise integral dos processos e ativos de informação críticos da organização, estabelecendo um estado de situação e o nível de risco de cibersegurança em que ela se encontra. Nossos consultores desenvolvem um plano de tratamento orientado à mitigação desses riscos, garantindo a eficácia e eficiência das operações e estabelecendo um marco seguro para os processos de negócios estratégicos.

1. Análise de Brechas de Cibersegurança (NIST e ISO 27032)

Serviço também conhecido como NIST Cybersecurity Framework GAP Analysis, com o qual estabelecemos um diagnóstico do nível de conformidade dos controles de cibersegurança em relação aos requisitos definidos no padrão NIST CSF (detectar, proteger, identificar, responder e recuperar) e, de forma opcional, sobre os controles definidos no padrão ISO 27032.

Por meio de uma metodologia e ferramentas de software desenvolvidas internamente:

  • Avaliamos o nível de maturidade dos 98 controles de cibersegurança implementados na organização.
  • Determinamos o grau de conformidade.
  • Fornecemos as ferramentas necessárias para a Alta Direção priorizar as ações de melhoria.

2. Análise de Brechas de Conformidade (Norma ISO 27001, Padrão PCI-DSS e Norma GDPR-LGPD)

Serviço também conhecido como ISO 27001 GAP Analysis.
Permite estabelecer um diagnóstico do nível de conformidade dos controles de segurança implementados em uma organização em relação aos requisitos definidos no padrão ISO 27001, identificando as lacunas e, consequentemente, buscando maneiras de corrigi-las.

Por meio de uma metodologia e ferramentas de software desenvolvidas internamente:

  • Avaliamos o nível de maturidade dos controles implementados sobre os processos e ativos de informação da organização.
  • Determinamos o grau de conformidade de cada domínio e de cada controle de segurança definido no padrão ISO 27001.
  • Fornecemos as ferramentas necessárias para priorizar as ações de melhoria.

3. Análise de Brechas de Conformidade do Padrão PCI-DSS

Trabalhamos em conjunto com os responsáveis de TI, Operações e Segurança da Informação de uma organização para identificar o nível atual de conformidade com os controles estabelecidos no padrão PCI-DSS.

Após o diagnóstico independente e detalhado do nível ou grau de maturidade:

  • Definimos e informamos as ações de remediação e melhoria.
  • Desenvolvemos o documento ROC a ser apresentado aos órgãos de controle em caso de auditorias de certificação PCI.

4. Análise de Brechas de Conformidade da Norma de Privacidade de Dados (GDPR-LGPD)

O Regulamento Geral de Proteção de Dados (GDPR) estabelece um marco mais sólido e consistente para a proteção de dados na União Europeia, apontando que as medidas destinadas a garantir sua conformidade devem levar em consideração a natureza, o escopo, o contexto e os propósitos do tratamento das informações, bem como o risco para os direitos e liberdades das pessoas.

Nossa auditoria realiza a Avaliação de Impacto de Privacidade e, com ela:

  • Avaliamos o tratamento de dados pessoais gerenciado pela organização.
  • Identificamos quem são os responsáveis pelo tratamento e para que finalidade os dados são coletados.
  • Recomendamos como corrigir os erros ou implementar as medidas necessárias para conformidade.
  • Evitamos possíveis sanções com nossas recomendações.
image
image

Avaliação de Segurança de Redes

O serviço de análise topológica consiste em uma revisão do estado da rede, no qual será revisada sua estrutura lógica (modelo) e física, determinando seu estado atual em relação aos níveis de segurança, disponibilidade, autenticidade dos dados e confidencialidade. Com base nisso, são feitas recomendações para melhorias na estrutura topológica.