Consultoria

Implementação de técnicas e regulamentos por especialistas da área para proteger e melhorar o desempenho no fluxo de informações da sua empresa

Saiba mais

À medida que o uso da Internet evoluiu, mais empresas estão compreendendo o fato de que a segurança dos computadores assume um papel fundamental e essencial dentro de seus contextos.

Priorizamos o conhecimento técnico e estratégico e, por esse motivo, nossos treinamentos são de cunho prático e conceitual. Mantemos uma ampla linha de treinamentos para que você possa qualificar seus profissionais e compor uma equipe com o conhecimento necessário para a definição da sua arquitetura de Segurança da Informação e implementação estratégica.

  • Parcerias: (ISC)², EC-Council, Check Point;
  • Cursos próprios desenvolvidos com base na experiência e nos conhecimentos de especialistas;
  • Programa de Conscientização em Segurança da Informação para todos os níveis de sua organização;
Fale conosco para saber mais sobre nossos cursos
Venha fazer parte do futuro da segurança da informação.

Check Point ATC

A Check Point Software é uma parceira de longa data em soluções de segurança cibernética e disponibiliza Centros de Treinamento Autorizados (ATC). Com isso, oferecemos atualização constante e formação de alta qualidade aos nossos profissionais para o catálogo da Check Point.

(ISC)² ATC

(ISC)² é uma associação internacional sem fins lucrativos focada em inspirar um mundo cibernético seguro. Mais conhecida pela aclamada Certified Information Systems Security Professional (CISSP), a (ISC)² oferece um portfólio de credenciais que fazem parte de uma abordagem holística com compromisso de educar e alcançar o público em geral.

O Instituto contempla certificação em cyber, informação, software e profissionais de segurança de infraestrutura que estão fazendo a diferença e ajudando a impulsionar o setor.
Saiba mais

EC-Council ATC

O EC-Council foi formado oficialmente pelo Conselho Internacional de E-Commerce Consultants para desenvolver programas de formação e certificação de segurança da informação e, assim, ajudar na prevenção de um devastador ataque cibernético. A organização rapidamente ganhou o apoio dos principais pesquisadores e especialistas no assunto em todo o mundo e lançou o seu primeiro Programa de Segurança da Informação, o Certified Ethical Hacker. Com essa crescente equipe de especialistas no assunto e pesquisadores InfoSec, o EC-Council continuou a construir várias normas, certificações e programas de formação no mercado de Segurança, Comércio Eletrônico e da Informação.

Avaliação de segurança

Serviços Hacker ético e testes de invasão

Revisamos a segurança da organização, identificando vulnerabilidades na infraestrutura tecnológica (aplicativos, portais web, servidores, equipamentos de telecomunicações, redes sem fio etc.) em estudo, independentemente de mudanças em suas estruturas, tecnologias e/ou pessoal responsável.

A partir do uso de ferramentas de software e técnicas avançadas, levantamos evidências de potenciais riscos de segurança nos dispositivos de computador avaliados. Em seguida, realizamos uma avaliação técnica precisa para que, em caso de brechas, seja possível saná-las rapidamente, fortalecendo o nível de segurança dos componentes tecnológicos da organização.

Serviços de Red Team

Simulamos um agente externo que realiza acesso não autorizado a sistemas corporativos, além da intrusão clássica (pentest), que oferece uma visão do status de segurança de um conjunto limitado de ativos em um momento e condições específicas.

Focamos o Red Team na persistência ao longo do tempo, no dimensionamento de privilégios nos sistemas corporativos e até na alteração e roubo de informações estratégicas para o negócio, o que nos permite:

  • Informar regularmente descobertas, ações e movimentos futuros para um pequeno conjunto de parceiros de clientes;
  • Mostrar o progresso da campanha e informar em primeira mão como funciona a equipe de defesa do cliente;
  • Identificar e conter uma intrusão;
  • Detectar vulnerabilidades para melhorar a configuração da infraestrutura existente;
  • Melhorar procedimentos e tempos de resposta;
  • Otimizar sistemas de monitoramento.

Serviços de Exploiting

Nossos serviços de Exploiting oferecem uma abordagem proativa para identificar vulnerabilidades e portas de entrada que os cibercriminosos podem explorar para invadir a organização.

Verificamos se todas as soluções de segurança estão ativas nas mais diversas frentes para prevenir brechas, além de estabelecermos medidas de segurança detalhadas que devem ser implementadas caso ocorra um ataque. Quando enfrentamos uma “falha de segurança desconhecida”, conhecida como “Dia Zero”, que não tem defesa, nossos especialistas ficam encarregados de identificar e relatar a ameaça em detalhes. Essas informações e análises fornecidas apresentam recomendações para soluções que podem ser adotadas pelo cliente.

Análise e gestão de vulnerabilidades

Desenvolvemos um modelo de gestão de vulnerabilidades que visa mitigar efetivamente as diferentes vulnerabilidades presentes nos dispositivos da infraestrutura tecnológica da organização. Esse modelo segue quatro etapas: planejamento, execução, remediação e verificação.

Nosso objetivo é garantir que a organização tenha um processo estruturado e formal que vá além da capacidade de identificação de vulnerabilidades, contemplando também a gestão do ciclo de resolução. Acompanhamos de perto os responsáveis, prazos e priorizações de correções, levando em conta a importância dos ativos de informação.

Além disso, auxiliamos na elaboração de um planejamento claro, eliminando a improvisação. Nosso trabalho também envolve a identificação de possíveis falhas no software e/ou configurações, corrigindo riscos potenciais antes que se tornem efetivos.

Phishing Educacional

Este serviço tem como objetivo realizar exercícios de engenharia social para os usuários da organização por meio de mensagens de e-mail com conteúdo de phishing, a fim de realizar um estudo do comportamento do usuário e seu nível de conscientização sobre políticas e boas práticas em segurança da informação.

Para isso, são planejadas diferentes etapas, escopo e atividades dos exercícios que serão realizados, a fim de alinhá-los com os requisitos específicos do cliente e elucidar o nível de riscos expostos aos ativos de informação da organização, tais como:

  • Planejamento e Definição de escopo;
  • Desenvolvimento de instrumentos e conteúdos;
  •  Preparação e implantação da plataforma;
  •  Execução de Exercícios de Phishing;
  • Análise e Relatórios com Resultados de Phishing.

Avaliação de segurança

Governança, Risco e Conformidade (RGC)

Análise de risco de segurança cibernética

Apoiamos as organizações a estarem cientes das vulnerabilidades que todas as suas infraestruturas implicam, dando-lhes uma visão completa de segurança que permite economizar custos e tempo, bem como minimizar riscos cibernéticos. Ter esse panorama geral facilita o desenvolvimento de novos planejamentos e ajustes de controle mais próximos da realidade.

Para realizar este modelo, misturamos três pilares fundamentais no campo da cibersegurança:

  • Processos (Análise GAP, de acordo com a norma ISO);
  • Pessoas (nível de conscientização sobre segurança cibernética);
  • Tecnologias (Avaliação da Infraestrutura de segurança, incluindo análise de vulnerabilidades e testes de penetração).

Plano de Tratamento de Risco

O Plano de Tratamento de Risco é realizado após a análise que a organização faz para aqueles ativos que tenham um nível de risco acima do aceitável. A nossa equipe entra como suporte a fim de reduzir essa problemática e fortalecer o nível de segurança por meio da melhoria ou adição de controles. Para isso, são realizadas as seguintes atividades:

  • Análise do contexto da organização;
  • Definição de boas práticas de controles de segurança;
  • Definição de ações de segurança e/ou projetos;
  • Definição de políticas de segurança;
  • Determinação de Processos de Segurança;
  • Classificação e priorização de ações de remediação;
  • Plano de Execução de Tratamento de Risco (PTR).

Treinamento e Conscientização

Desempenhamos programas de treinamento e conscientização nas áreas de segurança da informação, continuidade operacional, fraude corporativa e gestão de incidentes ministradas por profissionais especializados e de grande experiência no mercado. Da mesma forma, desenvolvemos conteúdos e instrumentos para a disseminação de políticas e conselhos de segurança. São duas fases: o Programa de Design de Conscientização e o Programa de Conscientização.

Auditorias Interna e Externas

Também conduzimos auditorias internas (da própria organização) e externas (de fornecedores) de conformidade normativa, por meio da aplicação de um processo sistemático, independente e documentado. Isso permite obter provas do funcionamento do sistema de gestão implementado e avaliá-lo objetivamente para determinar até que ponto os critérios de auditoria propostos são atendidos (objetivos da auditoria) e se ele cumpre com as cláusulas estabelecidas pela norma aplicável.

Para isso, realizamos o projeto de auditoria pela da definição do escopo e objetivos, o que se reflete no plano de auditoria correspondente; seguido da sua execução para geração do relatório.

Gerenciamento de risco de terceiros

Em algum momento, toda empresa precisa compartilhar com terceiros dados de colaboradores, clientes, parceiros ou fornecedores para ações do dia a dia, das mais simples às mais complexas. Ao fazer isso, a companhia tem o dever de estabelecer uma diligência sobre o tratamento de dados realizado pelo terceiro. Mas, para ser eficiente, essa ação precisa ser estruturada. Pensando nisso, desenvolvemos uma solução com enfoque em prevenir a interrupção dos negócios causada pela vulnerabilidade no contato com outros ambientes digitais.

O Serviço de Gerenciamento de Risco de Terceiros tem uma proposta de parceria educativa que busca elevar a maturidade digital na colaboração entre as organizações. O diagnóstico pode ser realizado tanto apenas com base em um monitoramento do score de segurança da companhia quanto pela realização de auditorias e ações de PenTest.

Caso o nível esteja abaixo do aceitável, os especialistas da NovaRed Brasil emitem uma sugestão de plano de ação, monitorando as atividades corretivas e esclarecendo dúvidas para fortalecer a área de cibersegurança.

Com a crescente profissionalização dos cibercriminosos, as organizações, por mais protegidas que estejam, seguem vulneráveis a ataques cibernéticos. Ao ter um Serviço de Gerenciamento de Riscos de Terceiros estruturado, a empresa tem uma clara evidência de que se preocupa de maneira madura com os dados que lhes foram confiados. Essa proatividade tende a minimizar a responsabilidade civil do negócio diante de um possível questionamento da Agência Nacional de Proteção de Dados (ANPD) sobre assuntos relacionados à Lei Geral de Proteção de Dados (LGPD).

 

Fale com um especialista para saber mais sobre o GRC

Avaliação de segurança

Análise e gestão de vulnerabilidades

A avaliação de segurança de firewall visa realizar uma análise técnica das configurações e regras de segurança dos equipamentos de firewall, a fim de identificar se eles estão em conformidade com as políticas de segurança estabelecidas pela companhia. A medida agrega oportunidades de melhoria nas configurações ou elementos de configuração, por meio da geração de planos de recomendação de ajustes correspondentes às necessidades percebidas. São revisados ao menos:

  • Documentação associada ao equipamento;
  • Análise de log;
  • Análise IPS;
  • Análise de VPN;
  • Análise dos resultados e desenvolvimento do relatório;
  • Recertificação da remediação.
 

Outra avaliação de segurança que pode ser aplicada é para o Centro de processamento de dados (datacenter). Realizamos uma análise técnica das características físicas e operacionais, contrastando com as normas técnicas disponíveis para este tipo de infraestrutura (TIER). O objetivo é levantar oportunidades de aperfeiçoamento de qualquer um dos recursos em níveis de configuração ou em sua disposição física. Os dados são integrados em planos de recomendação de remediação elaborados pelos nossos especialistas.

No que tange à base de dados, priorizamos o controle de acesso das informações e da sua integridade. O Plano de recomendação leva em consideração a revisão dos seguintes aspectos:

  • Controles de acesso;
  • Integridade dos bancos de dados e suas tabelas;
  • Contas e perfis de usuários;
  • Sistema operacional.
 

Na avaliação segura do desenvolvimento de códigos, a realização de suportes típicos de modelagem de ameaças produz uma lista priorizada de melhorias de segurança para requisitos, design e implementação de aplicativos. Com nosso serviço de criação de modelos de ameaças:

  • As equipes de desenvolvimento terão requisitos de segurança adaptados às fases de projeto;
  • Elas terão uma visão dinâmica de risco adaptada a ambientes ágeis;
  • A segurança do aplicativo pode ser otimizada identificando alvos e vulnerabilidades;
  • As contramedidas para prevenir ou mitigar os efeitos das ameaças ao sistema serão definidas graças a uma plataforma automática;
  • Haverá apoio à tomada de decisões sobre riscos de segurança em aplicativos.
 

Na análise de lacunas de conformidade regulatória, averiguamos os processos ativos de informação crítica da organização, podendo estabelecer um estado de situação e o nível de risco de cibersegurança em que está localizada. Nossos consultores desenvolvem um plano de tratamento voltado para a mitigação desses riscos, que garante a eficácia e eficiência das operações e estabelece um quadro seguro para processos estratégicos de negócios.


Por fim, o serviço de análise topológica consiste em uma revisão do estado da rede, na qual sua lógica (modelo) e estrutura física serão revistas e seu estado atual será determinado de acordo com níveis de segurança, disponibilidade, autenticidade dos dados e confidencialidade. De acordo com isso, são feitas recomendações para melhorias na estrutura.

Estrutura de Segurança Cibernética (Gerenciamento de Segurança)

GESTÃO DE INCIDENTES DE CIBERSEGURANÇA

Os planos de diretores de segurança são fundamentais para garantir que uma organização esteja preparada e protegida contra possíveis ameaças cibernéticas. Com base em uma abordagem de três anos, esses planos visam estabelecer e priorizar iniciativas que permitam a otimização da estruturação, orientação e nível de controle da cibersegurança, mitigando riscos em ativos digitais e sempre alinhados com os objetivos estratégicos da organização.

O primeiro estágio dos planos de diretores de segurança é estabelecer o escopo e identificar o nível atual de maturidade dos controles de cibersegurança implementados. Isso envolve uma análise detalhada dos sistemas e processos existentes, avaliando a eficácia e a eficiência dos controles de segurança.

Em seguida, a definição da meta de segurança é realizada. Essa meta deve seguir os objetivos estratégicos da organização e levar em consideração as possíveis ameaças cibernéticas.

Por fim, é constituído um plano de ação para implementação ou otimização dos controles de cibersegurança. Esse plano deve ser elaborado com base na meta de segurança definida anteriormente e considerar as iniciativas prioritárias a partir dos prazos para implementação.

O processo de planejamento estratégico pode ser desdobrado para maiores detalhamentos conforme as necessidades da organização.

A implementação de um sistema de gerenciamento de cibersegurança, por sua vez, é realizada por meio do estabelecimento de políticas, procedimentos e práticas que garantam a proteção das informações e sistemas de uma organização contra ameaças cibernéticas, sempre considerando suas exigências específicas. O sucesso dessa aplicação depende do envolvimento de todas as áreas da empresa, para que a segurança da informação seja enraizada no dia a dia.

Unificamos critérios e atividades de Governança Corporativa, Risco e Compliance, em um único modelo de gestão, com base nos requisitos estabelecidos pela Organização para a Cooperação e Desenvolvimento Econômico (OCDE) que:

  • Contribui para a melhoria dos processos de negócios;
  • Favorece a obtenção de vantagens competitivas para a tomada de decisão alinhada aos objetivos do negócio;
  • Minimiza custos desnecessários devido à duplicação do esforço na manutenção de informações de gerenciamento em modo confiável e seguro.

 

Trabalhamos com as principais certificações de comprovação de qualidade em relação a serviços de gerenciamento envolvidos nesse processo:

ISO 27001 – SGSI

Sistema de gerenciamento de segurança da informação

ISO 22301 – SGCN

Sistema de Gestão de Continuidade de Negócios

ISO 20.000 – SGS

Sistema de Gerenciamento de Serviços

Implementamos um quadro baseado em boas práticas estabelecidas por padrões internacionais no campo da cibersegurança (NIST – ISO 27032), que permite à organização estabelecer processos de operação, monitoramento e melhoria contínua que atendam aos requisitos específicos e escopo estabelecidos pela companhia. Dependendo dos objetivos e necessidades dos clientes, é oferecida a implementação de planos estratégicos com base em regulamentações internacionais.

Assessoramos e desenvolvemos junto à organização a avaliação e análise BIA (processos críticos e impactos financeiros, reputacionais, legais, operacionais, etc.) que permite determinar as estratégias de recuperação e continuidade necessárias para a construção dos Planos de Continuidade de Negócios, do inglês, Business Continuity Plan (BCP).

Ter uma análise BIA para cada processo crítico permite:

  • Determinar claramente os tempos mínimos toleráveis de indisponibilidade de sistemas e processos;
  • Definir o tempo máximo para sua recuperação antes de gerar perdas significativas;
  • Avaliar os impactos negativos para a organização como resultado de um evento disruptivo;
  • Identificar os potenciais impactos no nível financeiro, reputacional, legal, operacional e entre outros.

 

O objetivo é garantir que processos e recursos necessários estejam disponíveis para manter as operações em andamento, bem como em conformidade com requisitos regulatórios e de proteção de informações. Além disso, buscamos fornecer maior confiança à alta administração em situações de contingência que possam colocar em risco a continuidade dos negócios. Para isso, identificamos riscos e cenários de desastres que podem afetar processos críticos e desenvolvemos uma estrutura eficaz para garantir resiliência. Dessa forma, também salvaguardamos os interesses dos acionistas, a reputação e os processos na cadeia de valor da organização.

Nesse mesmo sentido, prestamos consultoria para realização de um Plano de Recuperação de Desastres, em inglês, Disaster Recovery Plan (DRP), para que empresas e instituições possam se preparar e lidar com situações de contingência de maneira a não impactar suas operações.

A construção de um DRP é um processo complexo que requer a análise e avaliação dos riscos e impactos de um evento disruptivo, bem como a definição de medidas de mitigação, recuperação e restauração.

Ao desenvolver um DRP, é importante que a organização estabeleça o escopo e identifique os sistemas críticos que precisam ser recuperados, a fim de garantir a continuidade do negócio. Além disso, é fundamental que o plano seja alinhado com os objetivos estratégicos da organização, a fim de garantir que as soluções propostas sejam eficazes e viáveis.

Ter um DRP proporciona maior confiança à alta administração sobre como o armazenamento e a proteção das informações confidenciais da organização são conduzidos, além de manter o funcionamento dos sistemas de computador e da infraestrutura tecnológica para evitar interrupções das atividades.

Por fim, a nossa equipe de resposta a incidentes é encarregada do gerenciamento de todo o ciclo de vida de uma ameaça cibernética. Prestamos serviços sob demanda ou na modalidade 24×7 em quatro países, com equipes especializadas de analistas experientes que participam no local ou remotamente da investigação de incidentes de segurança e sinais de comprometimento. Realizamos uma análise forense no caso de um julgamento subsequente, se necessário.

Prestamos o serviço nas seguintes modalidades:

  1.  Atendimento especializado em 4 países e na modalidade 24×7
    – Equipes especializadas de analistas experientes que participam no local e remotamente da investigação de incidentes de segurança e sinais de comprometimento;
    – Procedimentos baseados em normas internacionais;
    – Apoio entre equipes com os SOCs nos diferentes países.
  2. Resolução e tomada de provas
    – Após análise detalhada, a equipe acompanha o cliente durante todo ciclo de vida do incidente;
    – Oferecemos recomendações necessárias para conter, erradicar e recuperar.
  3. Notificações e relatórios de acompanhamento
    – Notificações 24×7 fornecem relatórios sobre o andamento da investigação;
    – Entregamos relatórios executivos, análise técnica de baixo nível e entrega de cadeia de custódia.
Fale com um especialista para saber mais sobre o GRC
Entre em contato
  • Av. Brigadeiro Luís Antônio 487, 11º andar, São Paulo
  • +55 11 2699 3600
  • eteknovared@eteknovared.com.br
Saiba onde nos encontrar
Nos encontre nas redes
Twitter Youtube Linkedin

Quer saber como preparar sua empresa para lidar com riscos e se proteger de forma estratégica

Agende uma conversa com um de nossos especialistas e saiba como a Novared pode ajudar a sua empresa