Escolar Documentos
Profissional Documentos
Cultura Documentos
SOLVIMM
1
Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança
DISCLAIMER
DEFINIÇÕES
PARTE REVELADORA: SOLVIMM
PARTE RECEPTORA: ITALTEL BRASIL
1. OBJETIVO
1.1 – Disciplinar as condições para a revelação de informações confidenciais obtidas por meio da
atividade de Assessment de Riscos executada pela Italtel, bem como definir as regras relativas ao seu
uso e proteção.
2. DEFINIÇÕES GERAIS
2.1 – As estipulações e obrigações constantes do presente documento serão aplicadas a toda e
qualquer informação que seja revelada.
2.2 – Como definição, “Informação Confidencial” significa qualquer informação, know-how e dados,
sejam de caráter técnico ou não, que foram obtidas neste trabalho. Também será considerada
“Informação”, toda e qualquer informação desenvolvida pela Parte Receptora, que contenha, em parte
ou na íntegra, as informações reveladas.
2.3 – A “Informação Confidencial” poderá se revestir de qualquer formato, seja oral, escrita e digital,
tais como, mas não apenas: Áudio, Imagens, Fotos, Vídeos, Textos, SMS, Conversas de aplicativos,
cadastro de clientes, credenciais de acesso, dados bancários, dentre outros arquivos de quaisquer
naturezas.
3. DIREITOS E OBRIGAÇÕES
3.1 – A Parte Receptora se compromete e se obriga, a utilizar a Informação Confidencial obtida por
meio deste trabalho, exclusivamente para os propósitos referidos neste Assessment, mantendo
sempre estrito sigilo acerca de tais informações;
3.2 – ITALTEL se compromete a não efetuar qualquer cópia da informação sem o consentimento prévio
e expresso do cliente;
3.2.1 – Este consentimento, entretanto, não será necessário para cópias, reproduções ou
duplicações destinadas para uso interno.
3.3 – As partes se comprometem e se obrigam a tomar todas as medidas necessárias à proteção da
informação proprietária da outra parte, bem como evitar e prevenir revelação a terceiros, exceto se
devidamente autorizado por escrito pelo cliente.
3.4 - As obrigações não se aplicam, entretanto, às informações que:
3.4.1 – ITALTEL possa comprovar que já são de domínio público ou que se tornaram
disponíveis para o público por outro meio;
3.4.3 - A revelação seja exigida por lei ou regras impostas por órgãos governamentais competentes.
4. LEGISLAÇÃO APLICÁVEL
4.1 – A relação de confidencialidade será regida e submeter-se-á às leis brasileiras
2
Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança
Sumário
1. Sumário executivo ...................................................................................................................................... 5
1.1 Resumo das atividades realizadas no período ....................................................................................... 5
2. Self Assessment ......................................................................................................................................... 7
2.1 Análise de aderência de controles internos ........................................................................................... 11
2.2 Entrevista com gerência estratégica ...................................................................................................... 13
3. Direcionadores estratégicos de segurança da informação ...................................................................... 14
4
Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança
1. Sumário executivo
Kickoff Executivo
Condução do Kickoff executivo para apresentação dos recursos da
consultoria, da metodologia empregada, estratégias, ferramentas e
cronograma.
• Apresentação do serviço;
• Modelo de cobertura e metodologia empregada;
• Extensões do projeto;
• Principais entregáveis;
• Premissas do modelo;
• Apresentação da equipe;
• Cronograma de execução e próximos passos.
Levantamento de informações
Levantamento de informações inerentes a condução do projeto, conforme
definido em cronograma presente no Kickoff:
• Levantamento do organograma geral da SOLVIMM;
5
Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança
6
Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança
Responsável Responsável
Atividade Data
SOLVIMM Italtel
Pedro Pisa
Execução do Kickoff executivo 16/jul/2020 George Chaves
(Diretor Executivo)
2. Self Assessment
7
Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança
CONTROLES AVALIADOS
ESTRATÉGICOS TÁTICOS OPERACIONAIS
Controle De
Responsabilidade Gerenciamento De Controle De Acesso Vazamento De
Trabalho Remoto Controle De Acesso Vulnerabilidades
Dos Usuários Acesso Do Usuário À Rede Informações
Técnicas
Controle estratégicos
São verificados 13 itens de controles estratégicos, segmentados em 2 controles, sendo (1)
Responsabilidade dos usuários e (2) Conformidade com requisitos legais.
Controle táticos
São verificados 31 itens de controles táticos, segmentados em 6 controles, sendo: (1)
Gerenciamento de Acesso do Usuário, (2) Gerenciamento de Senha do Usuário, (3) Trabalho
8
Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança
Remoto, (4) Gestão de Incidentes de Segurança da Informação, (5) Controle de Acesso e (6)
Gestão da Continuidade de Negócio.
9
Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança
Controle operacionais
São verificados 19 itens de controles táticos, segmentados em 6 controles, sendo: (1)
Gerenciamento de Acesso do Usuário, (2) Gerenciamento de Senha do Usuário, (3) Trabalho
Remoto, (4) Gestão de Incidentes de Segurança da Informação, (5) Controle de Acesso e (6)
Gestão da Continuidade de Negócio.
Controle de vulnerabilidades
Controle de acesso à rede
técnicas
Gerenciamento de privilégios
5 itens de controle
10
Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança
Neste relatório estão descritos os resultados obtidos por meio das análises conduzidas
pela Italtel que servem como insumos para a reavaliação de processos de Segurança e
aprimoramento de seus mecanismos de gerenciamento de segurança atualmente em operação
da SOLVIMM, objetivando o aumento dos níveis de resiliência em segurança e aumentando o
nível de maturidade de seus processos de negócio.
11
Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança
Foi identificado que o nível de aderência de cada controle frente aos aspectos da Norma
de Segurança ISO 27001 é baixo, sendo a ausência de políticas formalizadas um dos principais
fatores de inconformidade.
Referência
12
Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança
• Contexto organizacional
A Solvimm percebe a importância da segurança da informação e indica esse tema como
um dos valores da empresa. O tema tem grande importância, tanto interna quanto externa
para a organização, pois a natureza dos serviços que ofertam necessariamente agrega a
preocupação com a segurança de seus clientes finais.
• Preocupações do cliente
A Solvimm mostra preocupação com a continuidade das atividades relacionadas a
Segurança da informação dentro da empresa, visto que no passado já ocorreram ações
voltadas ao tema. Existe preocupação especial em adequar as políticas já existentes às
melhores práticas normativas e de mercado, além de conseguir conciliar temas
operacionais da empresa aos requisitos de segurança. Existe também interesse na
formulação de políticas que apoiem o retorno pós pandemia em modelos de trabalho
híbridos(home office e presencialmente no escritório..
Os resultados devem ser utilizados pela equipe da SOLVIMM e ITALTEL para elaboração
de seu plano de ação para elevação do nível de segurança e aumento de nível de resiliência
contra ameaças digitais. Para isso, devem ser endereçadas ações relacionadas com:
14