GESTÃO E CONSULTORIA EM SEGURANÇA INFORMAÇÃO

   .

Consultiva

Oferecer uma visão atual dos riscos em segurança da informação que podem expor sua organização à perda de credibilidade perante o mercado e/ou perdas financeiras.

Análise de vulnerabilidade Técnica

No processo de análise de vulnerabilidade são realizadas aferições visando a identificação de fragilidades técnicas de forma exaustiva sobre ambiente computacional de empresas. 
Esta análise possibilita evidenciar a exploração destas fragilidades através de um teste de penetração - penetration test - que utilizará ferramentas e técnicas para obter o acesso aos sistemas; complementado pela classificação de nível de risco, permitindo a priorização e o tratamento dos ativos mais expostos do ponto de vista de segurança e das respectivas operações de negócio. 

Saiba mais sobre nossos perfis de análise logo abaixo:
  1. Dispositivos Analisados tais como: Estações de Trabalho; Servidores Corporativos; Servidores e Aplicativos Web; Serviços de rede, incluindo DNS, DHCP, entre outros.
  2. Bancos de Dados tais como: sistemas de armazenamento de arquivos.
  3. Dispositivos de Rede tais como: Firewalls; Switches; Roteadores e demais dispositivos de rede.
  4. Aplicações Web tais como: Injeção de Código (como SQL Injection); Quebra da Autenticação e do Gerenciamento de Sessões; Execução de Scripts entre sites (XSS); Referência Insegura e Direta a Objetos; Uso de Configurações Inseguras; Exposição de Dados Sensíveis; Ausência de Funções de Controle de Acesso; Requisição Forjada entre Sites (CSRF); Uso de Componentes com Vulnerabilidades conhecidas; Redirecionamentos e Encaminhamentos sem Validação.
 

Remediação

Fornecer um conjunto de documentos que formalizará os aspectos considerados relevantes pela organização para o controle, proteção e monitoramento dos seus ativos de informação, englobando também as responsabilidades de todos os colaboradores para com a Segurança da Informação.

Classificação das Informações

Nesta atividade levantamos a infraestrutura tecnológica e os processos de negócio atualmente aderentes ou não às boas práticas de classificação da informação com o objetivo de identificar as tecnologias existentes ou necessárias para se implementar uma adequada classificação da informação e priorizar as ações a partir do conhecimento dos processos de negócio e seus requisitos.
Este levantamento irá gerar um relatório de GAPs e riscos em relação à classificação da informação que norteará um plano de ação para implementação e processos de classificação da informação.
Será gerado adicionalmente toda a estrutura documental do processo de classificação da informação para que a empresa possa prosseguir com esta atividade tendo o respaldo de uma política e procedimentos operacionais que detalham o processo de rotulação e tratamento das informações

Conscientização em Segurança da Informação

Criamos para sua empresa um programa composto por meios de comunicação interativos visando a fixação de conceitos importantes para a proteção de seus negócios.
Os produtos de conscientização podem conter:
  • Palestras, workshops ou mini cursos presenciais;
  • Jogos lúdicos e interativos (plataforma web); 
  • Desafios e testes de conhecimento (impresso e plataforma web);
  • Conscientização por meio de proteção de tela e tela de fundo em computadores;
  • Cartilha de conscientização em segurança (impresso e plataforma web); e
  • Vídeos de conscientização.

Arquitetura de Segurança da Informação

O objeto principal da consultoria é a adequação do ambiente tecnológico, visando a implementação ou aprimoramento de controles de segurança tendo como alvo a diminuição dos riscos previamente identificados aos negócios de sua empresa.

A atuação consultiva abrange o atendimento das seguintes necessidades:
  • Readequação de segurança em topologia, filtragem e segmentação de redes;
  • Monitoramento e gestão de equipamentos, serviços e demais ativos; 
  • Implementação e adequação de sistemas de provisionamento de acesso;
  • Gestão Segura de configuração e demais documentos classificados; e
  • Adoção mecanismos de detecção e correlacionamento de eventos e incidentes de segurança.
  • Implementação de sistemas e processos para realização de cópias de segurança e sua respectiva recuperação de informações.
 
As soluções ofertadas incluem a implementação de soluções Open Source quando estas forem consideradas convenientes às necessidades do cliente, reduzindo consideravelmente os investimentos necessários para se obter melhoras significativas em segurança.
 

Fortalecimento de Configurações e Sistemas

No processo de fortalecimento de sistemas (hardening) considera-se a produção de padrões de segurança (baseline) que tratam da instalação e configuração segura dos sistemas operacionais, aplicativos, serviços e demais dispositivos, onde se incluem:
 
  • Sistemas operacionais (Windows, Red Hat, CentOS, AIX, HP-UX, Solaris, VMWare e suas respectivas versões);
  • Serviços Web e de Aplicações (Apache, IIS, Weblogic, Jboss e suas respectivas versões);
  • Banco de Dados (Oracle, MySQL, SQL Server, Informix e suas respectivas versões);
  • Dispositivos de rede (Cisco Switch e Cisco ASA);
  • Aplicativos e serviços (DNS Microsoft, Exchange, Blackberry, entre outros).
Além da entrega dos padrões de segurança oferece-se ainda pela consultoria a personalização destes padrões sobre os sistemas de sua empresa.
 

Desenvolvimento Seguro de Sistemas

No processo de desenvolvimento de software os aspectos de segurança são muitas vezes negligenciados em prol de uma maior rapidez na entrega das funcionalidades, módulos e sistemas requisitados. Essa abordagem onde os custos e a rapidez na entrega estão na vanguarda das preocupações das empresas e a segurança é vista apenas como um atributo opcional dos sistemas, deixa as aplicações desenvolvidas vulneráveis e expõe as organizações a riscos que muitas vezes podem fugir do controle e até serem desconhecidos por parte dos respectivos gestores.
Nossa abordagem irá avaliar o processo atual de desenvolvimento de aplicações de acordo com as melhores práticas do mercado de forma a verificar possíveis inconformidades com estes padrões, suas causas, riscos envolvidos e fornecendo recomendações para tratar estes possíveis problemas. Se necessário, realizamos também a capacitação profissional de equipes de desenvolvimento de software através de workshops direcionados sobre o tema.

Operação

Oferecer pronto atendimento em ocorrências de incidentes de segurança minimizando o impacto junto aos seus negócios.

Auditora de Segurança e Conformidade

Realiza-se na consultoria uma análise com base em checklists especialmente desenvolvidos para o escopo contratado, com o objetivo de indentificar conformidade com diversos padrões de segurança existentes no mercado.
Nossa análise pode contemplar a aferição de seu ambiente às normas, regulamentos ou compilação de boas práticas:
  • ISO 27001- Sistema de Gestão em Segurança da Informação
  • ISO 27002 - Código de prática para Segurança da Informação;
  • ISO 27003 - Diretrizes para implementação de um SGSI;
  • ISO 27004 - Métricas para avaliação da efetividade dos controles e sistemas de Segurança da Informação;
  • ISO 27005 - Gestão de Riscos de Segurança da Informação;
  • ISO 27011 - Segurança da Informação para empresas de telecomunicações;
  • Demais padronizações que considerem a aferição em segurança da informação.
 
Todas as atividades de auditoria seguem o padrão da ISO 19011.
 

Respostas de Incidentes de Segurança da Informação

Estamos preparados para apoiar as necessidades de sua empresa tanto no estabelecimento de processos e equipes de atendimento a incidentes de segurança, quanto oferecer atendimento imediato em ocorrências que impactem os seus negócios. 
Formamos em sua empresa as equipes de resposta a incidentes estabelecendo todos os protocolos e procedimentos necessários para a contenção e recuperação imediata de seu ambiente envolvendo todas as áreas administrativas e tecnológicas. 

No atendimento imediato, o cliente pode contar com o apoio da LIFE podendo estar presente em todas as etapas de incidentes de segurança composto por:
  • Identificação; 
  • Confirmação; 
  • Análise; 
  • Contenção; 
  • Mitigação; 
  • Recuperação; 
  • Documentação.
  • Ainda quando necessário nossas equipes estarão preparadas para acionamento de protocolos de isolamento da área afetada pelo incidente, incluindo a preservação dos artefatos em caso de necessidade de uma investigação posterior (Perícia Forense Computacional).
 

Plano de Continuidade dos Negócios

Um plano de continuidade exige a delimitação de um escopo de trabalho baseado na seleção dos serviços mais críticos e respectivos ativos (pessoas, processos e tecnologias) envolvidos no atendimento destes negócios.
Neste aspecto são determinados diversos cenários de eventos inesperados que podem levar a interrupção de sua empresa e com base nesta realidade são realizadas as seguintes atividades:
  • Determinação do escopo da continuidade do negócio. 
  • Mapeamento dos fluxos e ativos contingenciados;
  • Estabelecimento e implementação das estratégias de continuidade do negócio.
  • Completa documentação dos planos e procedimentos.
  • Realização e acompanhamento de testes, reavaliação, aceitação e manutenção do plano.