A auditoria de Segurança em TI é um trabalho bastante completo que analisa toda a TI relacionada ao negócio com o objetivo de apresentar os níveis de segurança encontrados para cada elemento informatizado da empresa. Os resultados obtidos mostram como a empresa pode melhorar o seu nível de segurança de modo que elimine ou reduza os riscos inerentes ao negócio. Este trabalho permite que o cliente conheça o atual estado de segurança dos ativos analisados e, desta forma, possa aprimorar as defesas da organização, priorizando o que for mais crítico ao negócio.

Dentre estes itens de análise estão:

  • Níveis de maturidade em segurança
  • Perfil do risco X Índices de defesas implementados
  • Análise detalhada da maturidade por subsistemas
  • Controles de segurança implementados e ainda não implementados
  • Visão geral das ameaças
  • Visão geral dos controles
  • Classificação geral dos ativos para impacto ao negócio
  • Análise de vulnerabilidades dos servidores e serviços
  • Análise de vulnerabilidades
  • Análise de práticas de usuários
  • Falhas de sistema que podem comprometer o bom andamento dos processos
  • Falhas de segurança relacionado a acesso físico e lógico da estrutura de TI
Perfil do risco X Índices de defesas implementados

As análises apresentam graficamente a situação atual da segurança no ambiente corporativo, através da interpretação das diversas informações coletadas durante a auditoria. Assim, é traçado o PRE (perfil de risco da empresa), que é uma medida de risco relacionada ao setor e ao modelo de negócio da empresa; e o IDP (Índice de defesa em profundidade), que vem a ser uma medida das defesas de segurança usadas para pessoas, processos e tecnologias para atenuar os riscos identificados.

O gráfico a seguir indica as diferenças no valor de defesa em profundidade, organizadas por área de análise. Em geral, é melhor ter uma classificação de IDP no mesmo nível da classificação de PRE para a mesma categoria. Um desequilíbrio dentro da categoria ou entre as categorias em qualquer direção pode indicar a necessidade de realinhamento dos seus investimentos em TI.

Mapeamento dos processos macros X Infra