Auditoria de Segurança em TI
A auditoria de Segurança em TI é um trabalho bastante completo que analisa toda a TI relacionada ao negócio com o objetivo de apresentar os níveis de segurança encontrados para cada elemento informatizado da empresa. Os resultados obtidos mostram como a empresa pode melhorar o seu nível de segurança de modo que elimine ou reduza os riscos inerentes ao negócio. Este trabalho permite que o cliente conheça o atual estado de segurança dos ativos analisados e, desta forma, possa aprimorar as defesas da organização, priorizando o que for mais crítico ao negócio.
Dentre estes itens de análise estão:
- Níveis de maturidade em segurança
- Perfil do risco X Índices de defesas implementados
- Análise detalhada da maturidade por subsistemas
- Controles de segurança implementados e ainda não implementados
- Visão geral das ameaças
- Visão geral dos controles
- Classificação geral dos ativos para impacto ao negócio
- Análise de vulnerabilidades dos servidores e serviços
- Análise de vulnerabilidades
- Análise de práticas de usuários
- Falhas de sistema que podem comprometer o bom andamento dos processos
- Falhas de segurança relacionado a acesso físico e lógico da estrutura de TI
Perfil do risco X Índices de defesas implementados
As análises apresentam graficamente a situação atual da segurança no ambiente corporativo, através da interpretação das diversas informações coletadas durante a auditoria. Assim, é traçado o PRE (perfil de risco da empresa), que é uma medida de risco relacionada ao setor e ao modelo de negócio da empresa; e o IDP (Índice de defesa em profundidade), que vem a ser uma medida das defesas de segurança usadas para pessoas, processos e tecnologias para atenuar os riscos identificados.
O gráfico a seguir indica as diferenças no valor de defesa em profundidade, organizadas por área de análise. Em geral, é melhor ter uma classificação de IDP no mesmo nível da classificação de PRE para a mesma categoria. Um desequilíbrio dentro da categoria ou entre as categorias em qualquer direção pode indicar a necessidade de realinhamento dos seus investimentos em TI.