LOGIN
LOGIN
METODOLOGIA

Metodologia para Assessment de Cibersegurança

RESUMO

O Assessment de Cibersegurança tem como propósito avaliar o estado atual da segurança cibernética do cliente. O principal entregável dessa metodologia é um relatório detalhado que demonstra a postura de segurança atual, identifica vulnerabilidades e riscos, e fornece recomendações de melhorias para fortalecer a proteção dos ativos digitais do cliente.

Conhecimento

Para a aplicação adequada dessa metodologia, é fundamental que a equipe possua conhecimento prévio nas seguintes áreas:

  • Conceitos básicos e avançados de cibersegurança.
  • Normas e frameworks de segurança (como ISO 27001, NIST).
  • Ferramentas de análise e gestão de vulnerabilidades.
  • Conhecimento do ambiente de TI do cliente, incluindo infraestrutura de rede, sistemas operacionais, e aplicativos utilizados.

Estrutura (Especialidades)

As principais competências e papéis necessários para a condução da metodologia são:

  • Consultores de Cibersegurança da EximiaCo: Responsáveis por liderar o assessment, realizar análises técnicas e elaborar o relatório final.
  • Especialistas em Redes e Infraestrutura: Para identificar e analisar vulnerabilidades em redes e sistemas.
  • Especialistas em Governança de TI: Para alinhar a avaliação com as normas e políticas de segurança.
  • Equipe de TI do Cliente: Para fornecer informações detalhadas sobre a infraestrutura e colaborar na execução de testes de segurança.

Recursos necessários do cliente:

  • Acesso a sistemas e redes para execução de testes.
  • Documentação de políticas de segurança e procedimentos operacionais.
  • Participação ativa das equipes de TI e de segurança.

Método

O processo de Assessment de Cibersegurança é dividido em várias macro etapas:

  1. Formação de um Enabling Team
    • Este passo é necessário se o cliente precisa desenvolver uma capacidade interna de cibersegurança. O Enabling Team será responsável por suportar a implementação das recomendações.
  2. Planejamento a. Definição do escopo do assessment. b. Coleta de informações preliminares sobre o ambiente de TI. c. Planejamento dos recursos e cronograma.
  3. Coleta de Dados a. Entrevistas com as equipes de TI e segurança do cliente. b. Análise de documentação e políticas de segurança. c. Execução de testes de penetração e varreduras de vulnerabilidades.
  4. Análise de Dados a. Organização e categorização das vulnerabilidades identificadas. b. Avaliação dos riscos associados a cada vulnerabilidade. c. Análise da conformidade com normas e melhores práticas.
  5. Elaboração do Relatório a. Consolidação das descobertas em um relatório detalhado. b. Redação de recomendações específicas para mitigação de riscos. c. Revisão do relatório com a equipe do cliente.
  6. Apresentação dos Resultados a. Sessão de apresentação para as partes interessadas do cliente. b. Discussão das recomendações e próximos passos.
  7. Monitoramento e Reavaliação
    • (Opcional) Implementação de um plano de monitoramento contínuo e reavaliações periódicas.

O esforço e a duração estimados para a conclusão dos trabalhos variam conforme o tamanho e a complexidade do ambiente do cliente, mas geralmente duram de 4 a 8 semanas.

Indicadores

Os principais indicadores para medir o progresso e a eficácia da aplicação da metodologia são:

  • Número de vulnerabilidades identificadas.
  • Grau de criticidade das vulnerabilidades.
  • Tempo médio para mitigação das vulnerabilidades identificadas.
  • Conformidade com normas e melhores práticas.
  • Índice de melhoria da postura de segurança ao longo do tempo.

Governança

A governança do processo será mantida através de reuniões semanais entre a equipe da EximiaCo e os stakeholders do cliente, para revisão do progresso, resolução de impedimentos, e ajustes no plano conforme necessário. Relatórios de status serão fornecidos regularmente, alinhados aos indicadores definidos.

Conclusão e Fase-out

Os principais entregáveis da consultoria incluem:

  • Relatório detalhado de Assessment de Cibersegurança.
  • Lista priorizada de vulnerabilidades e riscos.
  • Recomendações de melhorias e plano de ação.
  • Sessão de apresentação final e discussão dos resultados.

O rito de entrega consiste na apresentação formal dos resultados e das recomendações, seguida pela entrega de todos os documentos e dados ao cliente. O suporte pós-assessment pode incluir sessões de follow-up para auxiliar na implementação das recomendações e em futuras avaliações.

Gostaria de mais informações?

Se você tem interesse neste assunto ou gostaria de mais informações sobre como a EximiaCo pode ajudar a sua empresa a utilizar a tecnologia para gerar mais resultados, entre em contato conosco.

Entrar em contato

OFERTAS ASSOCIADAS

Confira as ofertas que utilizam esta metodologia:

Consultoria para Privacidade de Dados

Consultoria para Segurança Cibernética

Assessment de Segurança

FRAMEWORKS UTILIZADOS

Confira os frameworks utilizados nesta metodologia:

Mitre ATT&CK

PCI DSS

CIS Controls

ISO/IEC 27001

NIST Cybersecurity Framework (CSF)

ITIL V4

Cubo da Segurança (Security Cube)

CODE

EXIMIACO 2024 - TODOS OS DIREITOS RESERVADOS

0
Gostaríamos de ouvir sua opinião!x

Tenho interesse em conversar

Se você está querendo gerar mais resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

Área de colaboradores

Esse ambiente é de acesso restrito à equipe de colaboradores da EximiaCo.

Trabalha na EximiaCo? Então conecte-se com sua conta:

Continuar com Google