Auditoria de Segurança em TI

A auditoria de Segurança em TI é um trabalho bastante completo que analisa toda a TI relacionada ao negócio com o objetivo de apresentar os níveis de segurança encontrados para cada elemento informatizado da empresa. Os resultados obtidos mostram como a empresa pode melhorar o seu nível de segurança de modo que elimine ou reduza os riscos inerentes ao negócio. Este trabalho permite que o cliente conheça o atual estado de segurança dos ativos analisados e, desta forma, possa aprimorar as defesas da organização, priorizando o que for mais crítico ao negócio.

Dentre estes itens de análise estão:

  1. Níveis de maturidade em segurança
  2. Perfil do risco X Índices de defesas implementados
  3. Análise detalhada da maturidade por subsistemas
  4. Controles de segurança implementados e ainda não implementados
  5. Visão geral das ameaças
  6. Visão geral dos controles
  7. Classificação geral dos ativos para impacto ao negócio
  8. Análise de vulnerabilidades dos servidores e serviços
  9. Análise de vulnerabilidades
  10. Análise de práticas de usuários
  11. Falhas de sistema que podem comprometer o bom andamento dos processos
  12. Falhas de segurança relacionado a acesso físico e lógico da estrutura de TI

Perfil do risco X Índices de defesas implementados

As análises apresentam graficamente a situação atual da segurança no ambiente corporativo, através da interpretação das diversas informações coletadas durante a auditoria. Assim, é traçado o PRE (perfil de risco da empresa), que é uma medida de risco relacionada ao setor e ao modelo de negócio da empresa; e o IDP (Índice de defesa em profundidade), que vem a ser uma medida das defesas de segurança usadas para pessoas, processos e tecnologias para atenuar os riscos identificados.

O gráfico a seguir indica as diferenças no valor de defesa em profundidade, organizadas por área de análise. Em geral, é melhor ter uma classificação de IDP no mesmo nível da classificação de PRE para a mesma categoria. Um desequilíbrio dentro da categoria ou entre as categorias em qualquer direção pode indicar a necessidade de realinhamento dos seus investimentos em TI.

Mapeamento dos processos macros X Infra