O Processo de segurança em IT
Como se tornar um alvo difícil de atingir

Segurança em IT é um processo – Gestão de vulnerabilidades fornece a base. Só identificando as fragilidades do Sistema de segurança existente, poderá agir para as corrigir.

Dado este passo deve conhecer que meios estão disponíveis para a resolução das vulnerabilidades detetadas. A identificação da capacidade técnica e financeira para o efeito é fundamental.

A verificação do impacto das medidas e a sua constante monitorização vão determinar o quão difícil é para um atacante atingir a sua organização.

E é aqui que entra a necessidade de uma perspetiva externa no ciclo de preparação e implementação de medidas de segurança na sua organização.

Um alvo em movimento constante é sempre mais difícil de atingir que um alvo parado. Qualquer organização onde exista ou circule informação é um alvo potencial, mantê-la sob políticas de segurança atualizadas dão-lhe movimento e maior segurança.

O ciclo continuo

O processo de segurança das TI deve ser contínuo, desde a preparação, passando pela identificação e resolução à implementação de melhorias.

Monitorizá-lo é fundamental e é neste âmbito que entram as ferramentas de gestão de vulnerabilidades.

As principais causas de vulnerabilidades são:

  • Erros de configurações ou programação

  • Instalação de software não autorizado

  • Violação de medidas de segurança estabelecidas

  • Ausência ou indefinição de medidas de segurança

Dotar uma organização de ferramentas que facilitem e monitorizem a presença destas causas na organização é por isso um passo vital.

As variáveis a identificar e tipos de teste a executar nas auditorias de segurança

Informação

Dados que circulam através da infraestrutura da organização

Infraestrutura Externa

  • Alojamento WEB
  • Website
  • Email
  • Cloudstorage
  • Áreas reservadas
  • Intra/extranet
Testes de Intrusão – Pentest

Infraestrutura Interna

  • Servidores
  • Routers/Switch´s
  • Postos
  • Impressoras
  • Sistemas Operativos
  • Sistemas de identificação e Autenticação
  • Videovigilância
Testes de Vulnerabilidade – Auditoria de Segurança

Conectores

  • VPN’s
  • API’s
  • Webservices
  • Gateways
  • Certificados Digitais
Testes de Segurança e Vulnerabilidade