EBOOK

Guia da Gestão de
Segurança da Informação
O que é e como implantar na sua empresa
ÍNDICE

Implementando seu Programa de Gestão de Segurança

O que é Segurança da Informação
da Informação e Privacidade com a plataforma GAT
Quais os objetivos da Segurança da Informação
Apoio e estrutura
Minha empresa está Segura?
Gap Analysis
Pequenas empresas estão mais vulneráveis
Ativos: defina, agrupe e classifique sua severidade
Como a falta de Segurança pode te impactar
Gestão de Riscos de Segurança da Informação
Principais ameaças e riscos
Centralização dos Processos de Segurança
Conceitos importantes para pensar Segurança
Projetos: compliance, checklists e assessments

Processos recorrentes bem definidos e automatizados

O que é Gestão de SI Casos de Uso e Resultados

Melhorando a Segurança da Informação na sua empresa

Implementação de um SGSI

Escopo - Plan, Do, Check, Act

Análise de Impacto e estimativa de recursos

Introdução
Em um mundo cada vez mais digital, os desafios na área de segurança aumentam a
cada instante. Essa preocupação é cada vez maior não só na vida das pessoas, mas
também nas empresas onde a falta de segurança da informação pode ocasionar perdas
financeiras, interrupção de serviços, exposição de dados de clientes e danos à reputação
e imagem da marca.

O uso da internet e digitalização de dados fazem parte da realidade de praticamente

todas as empresas e sem dúvida proporcionam inúmeros benefícios. Ganho de eficiência,
produtividade e economia são alguns deles. Entretanto é preciso alguns cuidados com a
postura de segurança digital. O investimento em segurança digital de forma preventiva,
e não apenas reativa, ou seja, depois que acontece algum problema, é algo essencial e
irrisório diante do potencial prejuízo que uma pequena falha de segurança pode ocasionar.

Este ebook traz conceitos importantes para entender, planejar e implementar Gestão de
Segurança da Informação na sua empresa.
 Segurança da informação
O que é Segurança da Informação • Política de Segurança
• Privacidade de Dados
Segurança da informação (SI) é a não violação da integridade, disponibilidade,
• Análise de Risco
confidencialidade, confiabilidade e autenticidade de documentos e dados
• LGPD
pessoais armazenados ou trafegados em meio tecnológico.
• ISO 27001
Se baseia em metodologias, normas, técnicas, ferramentas, estruturas organizacionais, • Conscientização
tecnologias e outros elementos, que suportam a ideia de proteção nas várias facetas • ...
da informação; envolve também a implementação e gestão de medidas de segurança
apropriadas, através de uma abordagem holística.
Cibersegurança
Importante ressaltar o conceito de Cibersegurança que é parte da Segurança da
Informação, mas não sinônimo. A Cibersegurança é responsável especificamente pela • Firewall
segurança digital, protegendo os ativos por meio do tratamento das ameaças potenciais • Teste de Invasão
que podem pôr em risco a informação processada, armazenada e transportada pelos
• Scan de Vulnerabilidades
sistemas interconectados.
• Antivírus
Já a Segurança da Informação tem um alcance mais amplo do que a cibersegurança.
• Controle de Acesso (AAA)
Independentemente dos limites de cada conceito, o objetivo principal é proteger a
• IDS / IPS
informação (seja de uma organização ou pessoal).
• ...
4
Quais os objetivos da Segurança da Informação

1. Integridade

2. Disponibilidade

3. Confidencialidade

4. Confiabilidade

5. Autenticidade

Esses são os principais aspectos da Segurança da Informação que precisam ser tratados com
critério com objetivo de serem protegidos para que gestores, colaboradores, parceiros e clientes
da empresa não sejam prejudicados.

Nas próximas páginas falaremos sobre as definições de cada um destes cinco aspectos e alguns
exemplos práticos de como a falta de Segurança da Informação pode ser explorada de maneira
maliciosa e causar graves consequências.
1. Integridade 2. Disponibilidade

Definição Definição

A informação estará exata, completa e A informação estará disponível para

preservada contra alterações indevidas, pessoas autorizadas de maneira contínua
fraudes ou mesmo destruição. e sem interrupções.

Risco Risco

Uma pessoa não autorizada obtém O seu sistema sofre um ataque e para se
acesso ao computador de seu gerente defender ou interromper o ataque seu
financeiro e altera diversos dados serviço principal fica indisponível gerando
sensíveis sem que ele perceba. grave prejuízo financeiro e de reputação.

6
3. Confidencialidade
Definição
Mecanismos de segurança que evitem
que pessoas não autorizadas acessem
informações confidenciais por engano
ou má-fé.
Risco
Uma empresa concorrente têm acesso
aos seus dados de produção e tecnologia
que foram deixados expostos por uma
configuração falha.
4. Confiabilidade
Definição
A informação deve ter boa qualidade e
ser fidedigna, ou seja, confiável para o
usuário que precisa acessá-la.
Risco
Uma planilha tem seus dados alterados
de maneira fraudulenta causando
consequências negativas para a gestão e
planejamento da empresa.
7
5. Autenticidade

Definição

Deve existir o registro de quem acessou,

atualizou e excluiu informações de modo
a garantir sua autoria e originalidade.

Risco

Seu site é invadido e alterado, passando

a direcionar as vendas e dados de clientes
para terceiros.

8
Minha empresa está segura?
Perfil e Motivação de Ataques *
Você pode imaginar que as ameaças digitais são um perigo
distante da sua empresa e que nunca vai acontecer com você. Mas
os crimes cibernéticos causaram prejuízos de US$ 22 bilhões ao motivação: vítim
Brasil em 2017 segundo o Norton Cyber Security Report [1]. Por
volta de 62 milhões de brasileiros foram vítimas de cibercrime,
76% 58
ganhos pequ
isso representa 61% da população adulta que possui conexão com financeiros negó
a internet.

Ao contrário do que muitos pensam, os hackers não têm como motivação: vítimas:
alvo apenas grandes corporações. Qualquer empresa ou startup 76% 58%
de pequeno ou médio porte pode estar vulnerável à invasão ganhos pequenos
da privacidade digital - e se tornam alvos ainda mais atraentes financeiros negócios
quando não tem nem mesmo preocupações mínimas com
proteção e mitigação de riscos. * De acordo com a pesquisa da Verizon Data
Breach Investigations Report [2], 58% das
Ao contrário do senso comum, não é preciso ser uma grande
vítimas em 2018 foram pequenos negócios e
empresa com milhões ou bilhões em jogo para ser um alvo: basta 76% motivadas por ganho financeiro.
estar vulnerável e oferecer um ganho financeiro.

9
Pequenas empresas estão mais vulneráveis
Infelizmente as pequenas empresas não costumam ter
qualquer preocupação com Segurança Digital. Em meio a
outras demandas que parecem sempre prioritárias e mais
urgentes como marketing, vendas e produto, a segurança
acaba passando despercebida e isso pode impactar a
própria sobrevivência do negócio.
Muitas vezes o alvo primário não é necessariamente
a empresa, e sim seus clientes. Mesmo que o
empreendimento movimente pequenos valores, seus
clientes podem representar um alto valor financeiro.
Um exemplo de invasões comuns a pequenas empresas são
os ataques de SQL Injection, feitos a partir de formulários
web e que podem dar acesso direto aos servidores
da empresa. Esse tipo de ataque, bastante antigo e
relativamente simples, explora falhas que poderiam ser
facilmente corrigidas caso houvesse alguma preocupação
com segurança. O resultado de um ataque bem sucedido
é a exposição das bases de dados e possivelmente de
informações sensíveis dos clientes da empresa, como por
exemplo cartão de crédito, o que pode causar prejuízo
financeiro para os clientes além de prejuízo de reputação e
confiança na marca.
Um outro tipo de ataque mais recente que vem se tornando
mais comum entre pequenas e médias empresas é o
Ransomware, que consiste no sequestro virtual e na
criptografia dos dados da empresa. O criminoso exige o
pagamento de um resgate (normalmente em bitcoins que
não são rastreáveis) para descriptografar os dados.
Uma boa postura de segurança pode evitar riscos
com medidas simples e preventivas, bem como com
um plano de ação claro.
10
Como a falta de Segurança pode te impactar

A falta de preocupação com Segurança da Informação pode ser fatal para as

empresas que acabam, assim, aumentando sua janela de exposição à riscos
que podem ocasionar prejuízos irrecuperáveis. Podemos citar os seguintes
tipos de riscos:

• perda de reputação e imagem de marca;

• risco operacional e de interrupção de negócio;
• risco de não conformidade;
• incidentes cibernéticos;
• risco de fraude;
• risco de vazamento ou roubo de dados e Informações

Falta de manutenção, atualização de software, senhas fracas, ausência de

criptografia de dados e educação dos colaboradores são alguns erros comuns
e que poderiam ser mitigados ou corrigidos caso a empresa tivesse uma visão
clara de seus ativos e vulnerabilidades. Uma simples câmera conectada em
rede pode ser uma potencial porta de entrada para datacenter e servidores.

11
Principais ameaças e riscos
Os pontos de controle de segurança da informação são
os agentes e meios pelos quais ela pode ser fragilizada ou
ameaçada e inclui equipamentos de informática, softwares,
redes lógicas e pessoas. Esses pontos de controle devem ser
monitorados a fim de minimizar ou bloquear riscos.
Todos os dias surgem novas ameaças e riscos, porém
podemos destacar como principais:
Software: falhas no desenvolvimento,
implementação ou configuração de
mecanismos de segurança em softwares.
Phishing: captura de dados de forma
manipulativa para exploração e fraude.
Negação de serviço: indisponibilidade do
serviço causado por atividade maliciosa.
Malwares: invasões a computadores ou bases
de dados com roubo e/ou sequestro de dados.
Vazamento de dados: exposição de dados
sensíveis ou não de clientes, colaboradores ou
da organização à pessoas não autorizadas.
12
Conceitos importantes para
pensar Segurança

É preciso buscar um conjunto de práticas,

metodologias e dispor de recursos para promover
a confidencialidade, integridade, autenticidade
e disponibilidade dos dados. Isso contempla
necessariamente aspectos humanos, físicos, virtuais,
jurídicos e tecnológicos.

Nas próximas páginas apresentamos conceitos

importantes para pensar em segurança, alguns
bastante simples mas por vezes esquecidos.

Entenda cada um deles e utilize a tecnologia,

as pessoas e os processos a seu favor.

13
Cloud: a computação em nuvem,
se bem gerenciada, pode trazer
grandes benefícios com constantes
atualizações e menor exposição a
erros de código. Além da eliminação
de custos, é possível ter um
ambiente de trabalho com menos
vulnerabilidades.
Antivírus e antispam: esses são
cuidados mínimos e também
primordiais para a segurança digital.
Aumentam as chances de bloqueio
de ameaças considerando as
possíveis portas de entrada dentro
de uma empresa, como navegação
insegura na internet, emails,
pendrives, entre outros.
Certificado SSL (Secure
Socket Layer): ajuda a
proteger as informações do
seu website, criptografando
a transmissão de dados.
Isso o torna mais seguro e
confiável para seus clientes.
14
Backup: uma política clara de
backup traz confiabilidade ao
negócio, trazendo mais agilidade
para a retomada dos serviços
caso algum problema ocorra. É
aconselhável salvar os backups
em múltiplas mídias e fazer
testes periódicos de integridade
para se proteger de danos à
infraestrutura de TI.
Criptografia: apesar de muitas
vezes significar uma perda de
velocidade nos processos, é de
grande importância criptografar os
dados sensíveis e assim impedir
que sejam acessados em caso de
um ataque. Principalmente em
empresas onde existe um fluxo
de dados sensíveis como jurídico,
financeiro e segredos industriais,
a criptografia é altamente
recomendada.
Controle de acesso: um dos
fatores que apresenta maior
vulnerabilidade justamente por
não ter a devida atenção. Sem
dúvida, o controle de acesso
levando em consideração os
processos inerentes e essenciais
a cada usuário faz toda a
diferença e evita uma exposição
desnecessárias a riscos e
impactos caso uma conta seja
comprometida.
15
Conscientização de funcionários:
tenha regras de segurança
estabelecidas e funcionários
treinados e conscientes da
importância de segui-las. O quadro
de funcionários é quase sempre
o elo mais fraco de segurança em
uma empresa, por isso é essencial
a conscientização sobre temas
chave como: reconhecer um e-mail
de phishing, o que fazer em caso
de incidentes de SI, como tratar
informações importantes da
empresa, como evitar aplicativos
perigosos, criar e manter senhas
seguras, além de conscientizar
sobre outros riscos que sejam
relevantes ao negócio.
Política de Segurança da Informação Monitoramento de
(PSI): documento que estabelece infraestrutura de TI: saiba
diretrizes para os membros da como estão suas conexões
organização no uso de recursos de rede e sistemas internos
de tecnologia da informação como em tempo real de maneira
correio eletrônico, backup, senhas, constante. Utilize soluções
uso de internet e intranet entre outros de Firewall e de prevenção
assuntos. Deve considerar sempre o de invasão para verificar os
comportamento no ambiente interno e pacotes recebidos em busca
externo que possa vir a expor a empresa de possíveis ameaças.
a riscos para estabelecer regras para
o acesso de dados. Ao explicitar as
responsabilidades e penalidades cabíveis
em caso de desrespeito às práticas de
segurança estabelecidas, a empresa
traz seriedade e atenção ao tratamento
de suas informações, aumentando sua
segurança digital.
16
Atualização: uma das maiores
causas de vulnerabilidades e algo
fundamental para correção de bugs
e erros que podem causar falhas
de segurança é manter softwares
sempre atualizados. Parece óbvio e
simples de implementar, mas muitas
empresas acabam deixando isso em
segundo plano por falta de tempo e
priorização pela equipe de TI.
Ter um manual de resposta a
incidentes: os riscos sempre vão
existir, mesmo que mínimos e com
uma política de segurança forte.
A diferença é estar pronto e ter
agilidade para responder e corrigir
de maneira eficiente, de maneira
adequada e limitando o eventual
dano que a exploração de uma
vulnerabilidade possa permitir.
Redundância de sistemas:
infraestrutura replicada, física
ou virtualizada que garante
uma alta disponibilidade das
informações. Ou seja, se um
servidor ou outro equipamento
de TI falhar seu substituto entra
em operação imediatamente
permitindo a continuidade da
operação.
17
Dupla autenticação e política de
senhas: não utilizar a mesma senha
em diferentes serviços, e definir
senhas fortes assim como habilitar,
sempre que possível, o fator de
autenticação dupla 2FA (Two Factor
Authentication).
VPN (Virtual Private Network):
utilize uma conexão segura e
privada ao se conectar a serviços
e sistemas da empresa.
Considerar a contratação de um
seguro contra ciberataques: pode
ser uma boa solução para proteger e
cobrir conta incidentes como ativos
digitais danificados, extorsão, perda
de dados, interrupção na operação,
perda financeira entre outros.
Segmentação de rede: diminua
o impacto de possíveis falhas
segregando suas redes de acordo
com o uso e necessidade.
Testar suas defesas: algumas
vulnerabilidades só são
descobertas através de uma
simulação de ataque. Então além
de realizar varreduras periódicas,
é uma ótima prática simular
um ataque cibernético a fim de
encontrar e eliminar brechas em
sua segurança.
18
O que é Gestão de SI
Um Sistema de Gestão de Segurança da Informação (SGSI)
define uma abordagem organizacional para que de acordo
com os critérios mencionados anteriormente de Integridade,
Confidencialidade, Confiabilidade, Autenticidade e Disponibilidade,
os dados e informações de uma empresa estejam protegidos.

Isso inclui instrumentos para monitorar, analisar, implementar

e estabelecer a Segurança da Informação utilizando diversas
estratégias, controles, políticas e planos.

É um processo contínuo que implica na implementação

É recomendado criar um modelo
e depois na manutenção e constante aprimoramento de
próprio de gerenciamento que
uma série de processos que permitem o gerenciamento
considere todos os fatores essenciais
eficiente das informações.
para sua eficiência, bastando levar
O desafio principal é garantir que pessoas, processos e em conta o tamanho, contexto e o
tecnologias da organização estejam com uma postura de segmento de seu negócio.
segurança adequada.

19
Melhorando a Segurança da Informação na sua empresa
É praticamente impossível ter controle total das
informações que circulam e estão expostas em uma
empresa. Além disso, ameaças e os mais diversos tipos
de ataques estão em constante mudança e evolução,
tornando-se cada vez mais complexos.
Ao compreender o quanto é essencial pensar e direcionar
investimentos para a segurança da informação, é
importante lembrar que os objetivos não são apenas
estabelecer e implementar controles para prevenção, mas
sim, incluir diretrizes e procedimentos para detecção
e resposta a incidentes relacionados à segurança e
privacidade.
A segurança da informação e privacidade vem ganhando
cada vez mais visibilidade com casos de vazamento de
dados em grandes empresas que impactam milhares de
pessoas que têm suas informações sensíveis expostas.
Em maio de 2018 passou a vigorar o Regulamento Geral
de Proteção de Dados (GDPR/RGPD), lei européia que
visa garantir a proteção de dados pessoais no cenário
tecnológico de cidadões dos países da União Européia.
Dado o impacto global da GDPR, no Brasil esta mesma
medida vem sendo estabelecida a partir da Lei Geral
de Proteção de Dados Pessoais (LGPD), que estabelece
regras relacionadas à segurança da informação e
responsabiliza as empresas pela proteção de dados,
independente do tamanho.
Buscar proteger sistemas, dados e informações
contra o acesso indevido, ataques criminosos,
uso impróprio assim como prevenir a perda e
sequestro de dados deve fazer parte do dia-a-dia
de todas as empresas.
20
Implementação de um SGSI
O SGSI (Sistema de Gestão de Segurança da Informação)
se baseia em normas ISO/IEC para prover segurança
no uso dos ativos tecnológicos de uma empresa. Mais
especificamente centralizado nas Normas ISO/IEC 27001
e 27002, o sistema estabelecido deve ser seguido por
todos que se relacionam direta ou indiretamente com a
infraestrutura de TI da organização, desde os funcionários
até os fornecedores e parceiros.
A implementação de um Sistema de Gestão de Segurança
da Informação envolve, no geral:
1. Análise de riscos da infraestrutura de tecnológica e
da atual posição da empresa em relação à Segurança
Digital, a fim de identificar pontos vulneráveis e as falhas
que deverão ser corrigidas;
2. Estruturação da Política de Segurança da Informação,
procedimentos e normas que respaldam os aspectos e
cultura de Segurança da Informação na organização;
3. Processos de detecção e resposta a incidentes de
segurança que assegurem o pronto restabelecimento
dos sistemas e acesso seguro a informações em caso de
incidente;
4. Plano de Continuidade de Negócios para assegurar que
ao se recuperar de um incidente grave, as perdas sejam
minimizadas;
5. Plano de Conscientização de funcionários, parceiros
e fornecedores perante a Segurança Digital e as
respectivas estratégias adotadas na empresa;
6. Procedimentos para auditoria e melhoria contínua.
Embora não exista um passo-a-passo para a
implementação de um gerenciamento padrão
considere os aspectos apresentados a seguir que
contribuirão para a conquista de bons resultados.
21

Escopo
A norma ISO 27001 adota o modelo PDCA (Plan-Do-
Check-Act) sugerindo um ciclo de melhoria continua
do programa de gestão de forma a permitir a
evolução de sua maturidade.
Plan. O planejamento pode ser dividido em duas etapas. Na
primeira são necessárias as seguintes atividades: avaliação
da situação atual da empresa diante da Segurança da
Informação, análise de risco, definição dos controles que
são compatíveis com o tamanho e o segmento de negócio
da empresa, documentação da declaração de aplicabilidade
(SOA). Já num segundo momento, as atividades necessárias
são: estabelecimento de políticas, processos, departamentos
e procedimentos para gestão da segurança da informação,
os quais definem a abordagem e os objetivos da Segurança
da Informação.
Do. A implementação do SGSI com operação da política de
segurança, controles, medidas, processos e procedimentos.
Deve conter a formulação de um plano de tratamento de
riscos, implementar controles, programas de conscientização
e treinamento. Além disso nessa fase deve começar o efetivo
gerenciamento das operações e recursos de SGSI e a pronta
detecção de eventos de SI e resposta a incidentes.
Check. Avaliação da eficiência e eficácia do sistema de gestão
e apresentação de resultados. Comparação entre desenho
alcançado e diretrizes definidas, valendo-se de métricas.
Análise crítica de riscos, escopo e condução de auditorias
internas em intervalos planejados. Atualização do plano de
segurança da informação de acordo com os resultados do
monitoramento e análise crítica.
Act. Executar ações corretivas e preventivas com base nos
resultados de auditoria e análise crítica em busca de constante
aprimoramento e ganho de eficiência. Implementação de
melhorias identificadas e comunicação às partes interessadas
de acordo com os objetivos pretendidos.
22
Análise de Impacto e estimativa de recursos

Saiba as possíveis consequências para o seu negócio em caso de

incidente disruptivo através de uma Análise de Impacto do Negócio (a
chamada BIA, Business Impact Analysis).

Identifique os processos críticos para a operação e priorize

adequadamente de maneira proporcional ao possível impacto.

Estime todos os elementos necessários para a implementação da ISO /

IEC 27001 em termos de recursos, tempo, investimento e pessoas e, por
fim, planeje a implementação de maneira eficiente e com prazo máximo
de 1 ano para que as mudanças de riscos, prioridades em relação a
proteção de ativos e aparição de novas ameaças não tornem o sistema
de gerenciamento desatualizado.

23
Implemente seu Programa
de Gestão de Segurança da
Informação e Privacidade
com a plataforma GAT
Implementar um Programa de Segurança da Informação
é um desafio para empresas de todos os tipos e portes.
Ter uma ferramenta adequada para auxiliar na gestão traz
grandes ganhos de produtividade, eficiência além de maior
confiabilidade por envolver menos processos manuais que
estão sempre mais suscetíveis a erros humanos. Saiba
mais sobre como começar e como a plataforma GAT pode
ajudar no sucesso do seu Programa de Segurança da
Informação e Privacidade.

24
Apoio e estrutura

Antes de começar obtenha o respaldo da alta

direção e estabeleça um esforço conjunto, com
uma estrutura adequada para a tomada de
decisões como um Forum ou Comitê de Segurança
que possa efetivar o que for determinado como
governança da segurança da informação. A Gestão
de Segurança não deve ser um projeto isolado
gerenciado por um único colaborador, mas sim um
compromisso de todos.

Não é tarefa simples por isso utilizar uma

ferramenta de apoio como o GAT será importante
para trazer visibilidade à Gestão de SI,
estabelecendo métricas que demonstrem sua
evolução, além de embasar decisões gerenciais
como investimentos necessários em infraestrutura
de TI ou aceite de riscos por exemplo.

25
Gap Analysis Evolua sua maturidade
Entenda de acordo com melhores práticas Gestão de Riscos
Cibernéticos
reconhecidas da indústria e critérios Gestão
Gestão de de Continuidade
estabelecidos como padrões a diferença de Negócios
Vulnerabilidades
entre sua performance de segurança atual
e a desejada. Esse diagnóstico de brechas Gestão
Conscientização sobre
ou o GAP Analysis pode ser aplicável a Segurança de Incidentes
de Segurança
qualquer normativo de adequação e é e Privacidade
da Informação da Informação
também muito útil em outras certificações e Privacidade
além da ISO/IEC 27001. de Dados

Com GAT é possível estabelecer um Gestão

Gestão
projeto de Gap Analysis e acompanhar sua de Privacidade
de Identidades
de Dados
evolução com métricas, visibilidade em
gráficos de quais são as áreas que devem Gestão de Gestão de Configuração
ser priorizadas. Crie alertas por email, Segurança Física Segura
responsáveis e data limite para correções
de maneira automatizada de acordo com Atual Esperado
critérios e SLAs definidos.

26
Ativos: defina, agrupe e classifique sua severidade

Ativos são todos os recursos que agregam

valor a um negócio. Cada empresa tem suas
particularidades e precisa definir quais são
Utilizando o GAT você pode definir e gerir seus ativos manualmente
as informações importantes e quais ativos
ou automaticamente. A cada upload de apontamentos via scans já
de informação que devem ser protegidos.
são criados e atualizados ativos de acordo com as vulnerabilidades
Podem existir informações sensíveis de cunho
encontradas em hosts, nuvem ou aplicações web. Além disso você
competitivo e ou legal que precisem de um
pode definir ativos do tipo pessoa, empresa e processo. Os tipos de
tratamento diferenciado.
ativos gerenciáveis através do GAT portanto são:
Para gerir com eficiências suas vulnerabilidades,
1. Infra (hosts)
é preciso confiar plenamente e ter uma boa
2. Aplicação Web
gestão de Ativos. É importante ter amplo
3. Pessoa
entendimento do contexto em que está inserida a
4. Empresa
sua organização, bem como fazer uma profunda
5. Processo
análise de como potenciais ataques poderiam
6. Nuvem
explorar as nuances de sua arquitetura de rede.

27
Visão e Agrupamento de Ativos no GAT

No GAT você pode atribuir severidade aos seus

ativos e grupo de ativos de acordo com seus
critérios. Também é possível visualizar um score
para cada ativo que irá variar de acordo com a
severidade das vulnerabilidades vinculadas a ele.

Quanto maior o score de um ativo ou grupo de

ativos maior o risco que traz ao seu negócio.

Defina SLAs para diferentes ativos ou grupo

de ativos de acordo com a severidade das
vulnerabilidades encontradas, disparando alertas Exemplo prático. Pode-se criar um grupo de ativos que engloba determinados

para responsáveis e data limites para correções.
Você pode criar dashboards com gráficos,
métricas e tabelas para entender rapidamente
quais ativos estão mais vulneráveis ou trazem
ativos de rede, uma aplicação web, dois processos e dez pessoas. Esse grupo
de ativos possui acesso à informações sensíveis, portanto você pode definir
sua severidade como Crítica ao negócio e criar uma automação que dispare
alertas a cada nova vulnerabilidade com severidade acima do nível ‘Baixo’ que
for encontrada, definindo responsável e data limite para correção. Pode disparar

maior risco de segurança à empresa e o que deve ainda um segundo alerta caso a data limite não seja atendida e realizar outras
automações que sejam interessantes para seus processos de gestão.
ser priorizado.

28
Gestão de Riscos de Segurança da Informação
Os riscos à Segurança da Informação são ameaças que
impedem o alcance dos objetivos de uma organização. A
gestão de riscos começa com um bom planejamento de
infraestrutura, serviços, políticas e metodologias.
A Gestão de Riscos de TI envolve a identificação, análise
e classificação por prioridade de cada risco identificado
levando em consideração o possível impacto e probabilidade
de que seja explorado. Tudo o que gira em torno de TI pode
contribuir para aumentar ou diminuir o risco por isso essa
avaliação deve ocorrer de maneira contínua.
Deve existir um plano de resposta aos riscos que
forem identificados com ações a serem tomadas para
seu gerenciamento. Devem ser atribuídos papéis e
responsabilidades sobre os perigos que forem detectados.
Entre as possíveis ações a partir da identificação de um risco
podemos citar:
Evitar: tomar ações que eliminem completamente o risco;
Mitigar: redução da probabilidade e ou do impacto da
possível exploração do risco;
Transferir: envolver um terceiro que será responsabilizado
pelo risco;
Aceitar: monitorar continuamente e estabelecer
mecanismos de alerta e de resposta em caso de
concretização.
29
Gestão de Risco tecnológico com GAT

Utilizando a plataforma GAT você pode manter a rastreabilidade de

vulnerabilidades em todo seu ciclo de vida, da descoberta à mitigação
ou eliminação. Além disso pode definir alertas e responsáveis de modo
automatizado de acordo com a severidade da própria vulnerabilidade ou
de ativos vinculados (além de outros critérios) contando com uma visão
atualizada através de dashboards. O estado de uma vulnerabilidade pode ser:

Não existente. Foi verificado que a vulnerabilidade não existe ou se trata de

um falso-positivo.

Pendente. Ainda não foi priorizada.

Em tratamento. Está em processo de correção.

Corrigido. Foi corrigido.

Em Reteste. Após a correção é verificado se a vulnerabilidade ainda existe.

Reaberto. Uma vulnerabilidade já corrigida anteriormente voltou a existir.

Aceito. O risco da existência foi aceito e/ou mitigado sem eliminação da

vulnerabilidade em sí.

30
Centralização dos Processos de Segurança

Um Programa de Segurança da Informação envolve diversas

metodologias, processos e controles. O desafio é comunicar de
maneira eficiente o andamento e ter uma visão atualizada do Risco e
dos apontamentos existentes, assim como ter rastreabilidade de cada
vulnerabilidade e de seu ciclo de vida.

É essencial ter uma visão do todo para assim priorizar

de maneira eficiente e eliminar vulnerabilidades de
maneira contínua antes que sejam exploradas e impactem
negativamente sua operação.

É muito difícil priorizar corretamente sem ter uma visão do todo.

Utilizando uma plataforma de Gestão de Risco e Conformidade como
o GAT é possível ter uma visão completa do estado de seus processos
de segurança da informação de maneira ágil e eficiente.

31
Comunicação, responsáveis e continuidade
É possível fazer o acompanhamento minucioso da
É essencial para o sucesso de qualquer Programa de
segurança de seu ambiente com a visão dos apontamentos
Segurança da Informação um plano contínuo de correção de
e interação com outros usuários (adicionando responsáveis
vulnerabilidades identificadas.
ou watchers, e mencionando-os nos comentários).
É comum empresas terem dificuldade em manter a
Os usuários podem trocar informações sobre a correção
continuidade desse plano por conta de diversos fatores,
via comentários específicos no apontamento. Isso permite
como dificuldade de comunicação entre as diversas áreas
a rastreabilidade, o princípio do não-repúdio e elimina as
envolvidas, falta de uma visão centralizada e de processos
conversas por e-mail, centralizando as informações no
de segurança bem definidos. O GAT endereça todos esses
contexto do próprio apontamento.
problemas, permitindo um fluxo de trabalho muito mais
fluido. Além disso é possível ter usuários com segregação de
acesso e visão restrita apenas ao projeto específico que é
Através do GAT é muito mais rápido e eficiente
relevante terem conhecimento.
atribuir responsáveis e data limite para tratamento de
vulnerabilidades de maneira manual ou automatizada. Tudo isso resulta em um maior controle sobre o ciclo
Com regras de automação personalizadas, é possível criar os de vida das vulnerabilidades e melhora a eficiência
mais variados tipos de notificações, bem como automatizar do tratamento diminuindo seu tempo de exposição
grande parte do fluxo de correção das vulnerabilidades às ameaças encontradas.
cadastradas no GAT.

32
Visão agrupada de apontamentos

GAT permite fazer o gerenciamento das vulnerabilidades Para isso, o GAT possui as visões agrupadas de
detectadas em seu ambiente de forma integrada e fácil. apontamentos por:
Incorporando as detecções provenientes das principais
ferramentas de scans de vulnerabilidades do mercado. • Categoria
• KB (Knowledge Base)
Você pode querer ver, por exemplo, qual a categoria de • Causa Raiz
apontamentos que mais aparece no seu ambiente; ou qual • Ativo
o apontamento mais comum; ou, ainda, quais ativos estão • Grupo de Ativo
trazendo maior risco para o seu negócio.

33
Importação de arquivos e integrações
É possível centralizar seus processos fazendo upload de
planilhas tipo XLS ou CSV contendo controles manuais
ou scans de ferramentas como Alienvault, OpenVas entre
outras ou integrando diretamente com Tenableio e Qualys
para importação automática de scans.
Dentro do GAT, os apontamentos podem ser categorizados,
tagueados, terem uma causa raíz atribuída, assim como
um responsável e uma data limite. É possível definir um
plano de correção com testes, recomendações, fazer upload
de evidências, comentários, ver o histórico e o score de
severidade de acordo com seu possível impacto.
A cada novo upload de dados, o GAT irá atualizar o status
de cada apontamento dentro do seu ciclo de vida e você
também pode atualizar o status de cada apontamento
manualmente, assim como subir evidências.
Utilizando o GAT você pode filtrar seus apontamentos de
diversas maneiras conforme a visão que precise ter. Pode
também criar diferentes dashboards com tabelas e vários
tipos de gráficos e métricas, totalmente customizáveis de
acordo com as necessidades do seu programa de segurança.
É possível ainda integrar com a ferramenta de Service Desk
Jira e abrir tickets a partir de vulnerabilidades diretamente a
partir do GAT.
34
Projetos: compliance, checklists e assessments
Considerando a complexidade, quantidade de controles
e processos necessários para implementar e gerir um
Programa de Segurança da Informação e Privacidade,
é muitas vezes recomendável a organização através de
Projetos e Checklists.
Isso permite ter um maior controle da implementação,
além de mostrar uma visão do progresso, execução e
distribuição de severidades de acordo com cada Projeto.
GAT já tem disponível Checklists padrões como ISO 27001,
LGPD, ISO 27701, PCI-DSS, e avaliação de segurança
de fornecedores. Além disso é possível criar Checklists
customizados.
Utilizando GAT é possível definir Projetos que podem ter
diversos Checklists definidos e também Assessments
vinculados a eles. Os assessments permitem a coleta de
informação de terceiros de acordo com um checklist pré-
defindo através de um formulário externo com link enviado
por email a partir do GAT o que facilita auditorias com
fornecedores por exemplo.
O GAT oferece flexibilidade para utilizar Projetos
e Checklists da melhor maneira de acordo com o
seu Programa de Segurança da Informação e as
características da sua organização.
35
Processos recorrentes bem definidos e automatizados
Uma das maiores dificuldades encontradas na gestão de
Programas de Segurança e Conformidade é manter os
processos em constante funcionamento, além de ter uma
visão clara de sua evolução e aprimoramento.
Além do escalonamento de responsáveis e due dates já
mencionado, que ajuda na melhor eficiência do tratamento
das vulnerabilidades encontradas, o GAT oferece
flexibilidade para que você defina a automação de outros
processos de acordo com as necessidades específicas para
que seu Programa de SI tenha consistência e eficiência.
Por exemplo, você pode adicionar Tags aos apontamentos
de maneira automática de acordo com as características
dos novos apontamentos encontrados entre muitas outras
possibilidades bastante flexíveis.
Essas automações permitem ainda o envio de notificações
customizáveis que ajudam a manter os stakeholders
e responsáveis informados e conscientes do que está
acontecendo ou precisa ser feito.
É possível estabelecer e ter controle de SLA’s para
assim diminuir o tempo de exposição à ameaças de
acordo com seu risco para o negócio.
36
Casos de uso

A plataforma GAT simplifica o processo

de gestão da segurança da informação • Gestão Integrada de Vulnerabilidades
e conformidade por meio da automação
de tarefas e integração com soluções • Gestão de Riscos Digitais
tecnológicas, otimizando o tempo das
equipes com atividades manuais e
• Avaliação de Risco de Fornecedores
aumentando a eficácia na tomada de • Análise e Gestão de Conformidades
decisão e correção dos apontamentos. (Bacen 4.658 e 3.909, ISO 27001, LGPD,
Por meio da combinação de funções PCI-DSS)
como inventário de ativos por criticidade
ao negócio, mapeamento regulatório
e importação de checklists e dados, a
plataforma GAT possibilita atender aos
principais casos de uso:

37
 • Visão executiva dos riscos cibernéticos e
conformidades viabiliza a tomada de decisão e

Resultados otimização de investimentos

• Visão técnica dos apontamentos, com classificação

de criticidade, evidências, recomendação e plano de
A utilização da plataforma GAT mitigação.
traz ganhos exponenciais para
• Compartilhamento do risco e aumento da sinergia
toda a empresa no que tange a entre as áreas
Gestão de Segurança.
• Criação de plano de ação de correção com base
no impacto ao negócio e acompanhamento das
tratativas.

• Visibilidade de maturidade da segurança em

tecnologias, pessoas e processos.

38
 Evolua sua maturidade
Gestão de Riscos
Cibernéticos
Implemente seus
programas de
Gestão
Gestão de de Continuidade
Vulnerabilidades de Negócios

Conscientização sobre Gestão

segurança com a
plataforma GAT
Segurança de Incidentes
e Privacidade de Segurança
da Informação da Informação
e Privacidade
de Dados
Evolua sua maturidade em Segurança da
Informação e esteja à frente das ameaças.
Gestão
Gestão
de Privacidade
de Identidades
de Dados

Gestão de Gestão de Configuração

Agende uma demonstração
Segurança Física Segura

Atual Esperado
FONTES

[1] Norton Cyber Security Report 2017 - página 13

[2] Verizon Data Breach Investigations Report - página 5

Saiba mais em gat.digital