Cyber Talent as a Service

Preparação & Alinhamento estratégico Agosto/2020

Organização de segurança

CYBER TALENT AS A SERVICE

PREPARAÇÃO & ORGANIZAÇÃO
AGOSTO/2020

SOLVIMM

1
 Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança

DISCLAIMER

DEFINIÇÕES
PARTE REVELADORA: SOLVIMM
PARTE RECEPTORA: ITALTEL BRASIL

1. OBJETIVO
1.1 – Disciplinar as condições para a revelação de informações confidenciais obtidas por meio da
atividade de Assessment de Riscos executada pela Italtel, bem como definir as regras relativas ao seu
uso e proteção.

2. DEFINIÇÕES GERAIS
2.1 – As estipulações e obrigações constantes do presente documento serão aplicadas a toda e
qualquer informação que seja revelada.
2.2 – Como definição, “Informação Confidencial” significa qualquer informação, know-how e dados,
sejam de caráter técnico ou não, que foram obtidas neste trabalho. Também será considerada
“Informação”, toda e qualquer informação desenvolvida pela Parte Receptora, que contenha, em parte
ou na íntegra, as informações reveladas.
2.3 – A “Informação Confidencial” poderá se revestir de qualquer formato, seja oral, escrita e digital,
tais como, mas não apenas: Áudio, Imagens, Fotos, Vídeos, Textos, SMS, Conversas de aplicativos,
cadastro de clientes, credenciais de acesso, dados bancários, dentre outros arquivos de quaisquer
naturezas.

3. DIREITOS E OBRIGAÇÕES
3.1 – A Parte Receptora se compromete e se obriga, a utilizar a Informação Confidencial obtida por
meio deste trabalho, exclusivamente para os propósitos referidos neste Assessment, mantendo
sempre estrito sigilo acerca de tais informações;
3.2 – ITALTEL se compromete a não efetuar qualquer cópia da informação sem o consentimento prévio
e expresso do cliente;
3.2.1 – Este consentimento, entretanto, não será necessário para cópias, reproduções ou
duplicações destinadas para uso interno.
3.3 – As partes se comprometem e se obrigam a tomar todas as medidas necessárias à proteção da
informação proprietária da outra parte, bem como evitar e prevenir revelação a terceiros, exceto se
devidamente autorizado por escrito pelo cliente.
3.4 - As obrigações não se aplicam, entretanto, às informações que:
3.4.1 – ITALTEL possa comprovar que já são de domínio público ou que se tornaram
disponíveis para o público por outro meio;

3.4.2 - Sejam liberadas formalmente pelo cliente;

3.4.3 - A revelação seja exigida por lei ou regras impostas por órgãos governamentais competentes.

4. LEGISLAÇÃO APLICÁVEL
4.1 – A relação de confidencialidade será regida e submeter-se-á às leis brasileiras

2
 Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança

Este documento foi elaborado com base na

necessidade e nas informações compartilhadas
com o time de Advisory Services da Italtel Brasil, com referência
ao seu contexto, escopo e limitações.

Os resultados nele contidos são desenvolvidos a

partir de nossos métodos, processos, técnicas, frameworks e
know-how.

A decisão de aplicar ou não as recomendações

resultantes das análises feitas durante a avaliação de segurança
(assessment), assim como sua forma de execução, são de
exclusiva responsabilidade do cliente e do seu time responsável .
3
 Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança

Sumário
1. Sumário executivo ...................................................................................................................................... 5
1.1 Resumo das atividades realizadas no período ....................................................................................... 5
2. Self Assessment ......................................................................................................................................... 7
2.1 Análise de aderência de controles internos ........................................................................................... 11
2.2 Entrevista com gerência estratégica ...................................................................................................... 13
3. Direcionadores estratégicos de segurança da informação ...................................................................... 14

4
 Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança

1. Sumário executivo

A partir de julho de 2020 foi iniciado o serviço de Cyber Talent as A Service

junto a SOLVIMM , cujo objetivo principal é apoiar no levantamento de informações a fim
de conduzir um diagnóstico de maturidade frente aos desafios de segurança da
informação e privacidade de dados para mapear riscos, reconhecer pontos de melhoria e
desenvolver planos com ações de remediação, desenho e apoio na implantação do
Sistema de Gestão de Segurança da Informação.
Este documento apresenta o resultado da análise realizada pela Italtel Digital
Security com base nas informações levantadas na fase de “Preparação & Organização“
destacam-se as ações mapeadas necessárias para aumento do nível de maturidade da
SOLVIMM frente aos objetivos da organização.

1.1 Resumo das atividades realizadas no período

Kickoff Executivo
Condução do Kickoff executivo para apresentação dos recursos da
consultoria, da metodologia empregada, estratégias, ferramentas e
cronograma.
• Apresentação do serviço;
• Modelo de cobertura e metodologia empregada;
• Extensões do projeto;
• Principais entregáveis;
• Premissas do modelo;
• Apresentação da equipe;
• Cronograma de execução e próximos passos.

Levantamento de informações
Levantamento de informações inerentes a condução do projeto, conforme
definido em cronograma presente no Kickoff:
• Levantamento do organograma geral da SOLVIMM;

5
 Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança

• Identificação das gerências e/ou áreas de negócio a serem

mapeadas;
• Identificação dos interlocutores responsáveis pelas gerências e/ou
áreas de negócio para entendimento dos processos e sistemas;
• Definição de plataforma de gestão do projeto.

Workshop de engajamento “Transformação digital e riscos

cibernéticos”
Execução de Workshop (2h) para todos os colaboradores da organização,
com o objetivo de iniciar a organização no tema, despertando o
conhecimento e interesse do time pelo assunto, bem como, ampliando a
percepção geral sobre os riscos cibernéticos e a importância de estabelecer
formas de tratá-los.

Questionário de Self Assessment

Questionário que fornece uma visão ampla do entendimento que a
organização tem por si mesma no que tange a maturidade de segurança da
informação. Também fornece insumos que serão analisados pela Italtel
Digital Security. Realizado o preenchimento do questionário de Self
Assessment por Pedro Pisa (Diretor Executivo), no dia 18 de agosto de
2020 (anexo 1).

Entrevista com a gerência estratégica

Entrevista com representante estratégico da organização para validação das
informações constantes no self assessment e entendimento macro das
atividades de operações da SOLVIMM.

6
 Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança

Resumo das atividades realizadas no período

Responsável Responsável
Atividade Data
SOLVIMM Italtel
Pedro Pisa
Execução do Kickoff executivo 16/jul/2020 George Chaves
(Diretor Executivo)

Workshop “Transformação digital e riscos Pedro Pisa

30/jul/2020. George Chaves
cibernéticos” (Diretor Executivo)

Definição da plataforma de gestão de Pedro Pisa (Diretor George Chaves

18/ago/2020
projetos. Executivo) Thamara Campos
Pedro Pisa (Diretor
Execução do Self Assessment 18/ago/2020 Thamara Campos
Executivo)
Avaliação dos documentos já Pedro Pisa (Diretor Jonathan Vergetti
20/ago/2020
existentes na SOLVIMM Executivo) Thamara Campos
Pedro Pisa (Diretor Thamara Campos
Entrevista com gerência estratégica 25/ago/2020
Executivo) Jonathan Vergetti

2. Self Assessment

Para atender às necessidades atuais da SOLVIMM, dentro dos objetivos estratégicos

de segurança da informação, foi realizada a Análise do Self Assessment de Segurança da
Informação no mês de agosto de 2020, tendo como base boas práticas definidas na norma
NBR ISO/IEC 27001:2013.

A norma NBR ISO/IEC 27001:2013 é um conjunto de controles

que deve ser utilizado para a implementação de um Sistema de
Gestão de Segurança da Informação em organizações de
qualquer setor e tamanho. De acordo com a ISO/IEC 27000:2014,
a definição de controle é: “medida que modifica o risco”, o que
inclui qualquer processo, política, prática ou ação.

O Self Assessment é um formulário de auto avaliação com

objetivo de identificar a aplicação de políticas, técnicas e controles
de segurança pré-existentes na organização, baseando-se nas
boas práticas de segurança dentro dos domínios da NBR ISO/IEC
27001:2013. Através dele, é possível estabelecer uma noção
geral sobre os controles já existentes e suas aplicações.

7
 Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança

Controles avaliados no Self Assessment:

São avaliados 61 itens de controle em 13 controles do Self Assessment. O número de
itens de controle varia conforme o controle. Para cada um dos itens de controle, o responsável
pelo seu preenchimento deve assinalar SIM ou NÃO a cada pergunta do Questionário. Cada item
de controle assinalado como NÃO é marcado como NÃO ADERENTE.

CONTROLES AVALIADOS
ESTRATÉGICOS TÁTICOS OPERACIONAIS

Controle De
Responsabilidade Gerenciamento De Controle De Acesso Vazamento De
Trabalho Remoto Controle De Acesso Vulnerabilidades
Dos Usuários Acesso Do Usuário À Rede Informações
Técnicas

Gestão De Incidentes Gestão Da

Conformidade Com Gerenciamento De Equipamento Do Gerenciamento De
De Segurança Da Continuidade De
Requisitos Legais Senha De Usuário Usuário Privilégios
Informação Negócio

Controle estratégicos
São verificados 13 itens de controles estratégicos, segmentados em 2 controles, sendo (1)
Responsabilidade dos usuários e (2) Conformidade com requisitos legais.

Responsabilidade dos usuários Conformidade com requisitos legais

Verifica-se a conscientização aos usuários a Verifica se todos os requisitos estatutários,

respeito de boas práticas do uso de senhas,
confidencialidade, dentre outros, a existência
de rotinas periódicas para alteração de
senhas.
regulamentares e contratuais aplicáveis são
definidos, mantidos e atualizados para cada
sistema de informação da organização, se há
procedimentos para garantir essa aplicação, se a
privacidade as informações são asseguradas, se
as medidas necessárias são aplicadas em caso
de atividade não autorizada.

7 itens de controle 4 itens de controle

Controle táticos
São verificados 31 itens de controles táticos, segmentados em 6 controles, sendo: (1)
Gerenciamento de Acesso do Usuário, (2) Gerenciamento de Senha do Usuário, (3) Trabalho
8

Preparação & Alinhamento estratégico
Organização de segurança
Remoto, (4) Gestão de Incidentes de Segurança da Informação, (5) Controle de Acesso e (6)
Gestão da Continuidade de Negócio.
Gerenciamento de Acesso do
Usuário
Verifica-se a existência de procedimentos
formais para registro, cancelamento e controle
de níveis de acessos aos sistemas de
informação.
6 itens de controle
Trabalho remoto
Verifica-se a existência de políticas para
atividades de trabalho remoto, aplicação de
requisitos internos de segurança no acesso
remoto, procedimentos para cópias de
segurança, dentre outros.
4 itens de controle
Controle de Acesso
Verifica-se a existência de políticas de controle
de acesso, da classificação da informação,
identificação dos riscos, bem como, avalia-se
o conteúdo dessas políticas.
6 itens de controle
Cyber Talent as a Service
Agosto/2020
Gerenciamento de Senha do
Usuário
Verifica-se a existência de políticas de senha,
controles de troca de senha e complexidade de
senha, revisões periódicas de direitos de acesso.
6 itens de controle
Gestão de Incidentes de Segurança
da Informação
Verifica-se a conscientização de funcionários,
terceiros e fornecedores a respeito de suas
responsabilidades diante de um evento de
segurança da informação, inclusive, para um
processo disciplinar formal em função das
violações de segurança da informação.
3 itens de controle
Gestão da Continuidade do Negócio
Verifica-se a existência de um processo de
gestão de continuidade dos negócios com base
em requisitos de segurança da informação, o
entendimento , análise, e avaliação dos riscos
aos quais a organização está exposta, e a
existência de planos de recuperação das
operações após a ocorrência de interrupções ou
falhas dos processos críticos do negócio..
6 itens de controle
9
 Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança

Controle operacionais
São verificados 19 itens de controles táticos, segmentados em 6 controles, sendo: (1)
Gerenciamento de Acesso do Usuário, (2) Gerenciamento de Senha do Usuário, (3) Trabalho
Remoto, (4) Gestão de Incidentes de Segurança da Informação, (5) Controle de Acesso e (6)
Gestão da Continuidade de Negócio.

Controle de vulnerabilidades
Controle de acesso à rede
técnicas

Verifica-se a existência de controles e normas Verifica se as vulnerabilidades técnicas dos

de liberação de acesso à rede, autenticação e sistemas são conhecidas e tratadas,
criptografia em acesso remoto seguro. monitoradas, registradas, bem como, se este é
um processo periódico.

3 itens de controle 3 itens de controle

Equipamento do usuário Vazamento de informações

Verifica-se a existência de políticas de controle Verifica-se a existência de monitoração de

e proteção de equipamentos do usuário, mesa recursos de sistemas de computação e
limpa, armazenamento seguro de informações procedimentos para evitar vazamento de
em papéis ou em mídias eletrônicas, dentre informações.
outros.

5 itens de controle 3 itens de controle

Gerenciamento de privilégios

Verifica-se a existência de processo periódico

de revisão de privilégios de acessos, métodos
de controle de privilégios, registro de
concessões de privilégios de acesso.

5 itens de controle

10
 Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança

Autopercepção da organização sobre maturidade em segurança da informação

Verifica o entendimento da organização sobre o nível de aderência de cada controle apresentado.

1 pergunta com resposta variável de 1 a 5

Neste relatório estão descritos os resultados obtidos por meio das análises conduzidas
pela Italtel que servem como insumos para a reavaliação de processos de Segurança e
aprimoramento de seus mecanismos de gerenciamento de segurança atualmente em operação
da SOLVIMM, objetivando o aumento dos níveis de resiliência em segurança e aumentando o
nível de maturidade de seus processos de negócio.

2.1 Análise de aderência de controles internos

A análise a seguir apresenta o status de aderência de cada controle interno da organização

avaliado com base nas informações levantadas. O percentual apresentado é calculado
considerando a aderência de cada controle às normas de segurança da informação.

Aderência de controles internos da organização

SELF ASSESSMENT
Qtde Não %
Controle Aderentes
Controles aderentes Aderência
Responsabilidade Dos Usuários 7 7 0 100%
Controle De Acesso À Rede 3 2 1 67%
Trabalho Remoto 4 2 2 50%
Gerenciamento De Senha De Usuário 6 2 4 33%
Controle De Vulnerabilidades Técnicas 3 1 2 33%
Vazamento De Informações 3 1 2 33%
Gerenciamento De Acesso Do Usuário 6 1 5 17%
Controle De Acesso 6 1 5 17%
Gestão De Incidentes De Segurança Da Informação 3 0 3 0%
Gerenciamento De Privilégios 5 0 5 0%
Conformidade Com Requisitos Legais 4 0 4 0%
Gestão Da Continuidade De Negócio 6 0 6 0%
Equipamento Do Usuário 5 0 5 0%
TOTAL 61 17 44 27%

11
 Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança

Foi identificado que o nível de aderência de cada controle frente aos aspectos da Norma
de Segurança ISO 27001 é baixo, sendo a ausência de políticas formalizadas um dos principais
fatores de inconformidade.

Aderência de controles internos

Aderentes Não aderentes
Referência

Vazamento De Informações 33% 67%

Equipamento Do Usuário 100%

Gestão Da Continuidade De Negócio 100%

Controle De Acesso 17% 83%

Conformidade Com Requisitos Legais 100%

Controle De Vulnerabilidades Técnicas 33% 67%

Controle De Acesso À Rede 67% 33%

Trabalho Remoto 50% 50%

Gerenciamento De Privilégios 100%

Gestão De Incidentes De Segurança Da Informação 100%

Gerenciamento De Senha De Usuário 33% 67%

Gerenciamento De Acesso Do Usuário 17% 83%

Responsabilidade Dos Usuários 100%

Referência

12
 Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança

2.2 Entrevista com gerência estratégica

No dia 18 de agosto de 2020, a Italtel conduziu uma entrevista com p representante

estratégicos da organização com o objetivo de validar as informações constantes no self
assessment e ampliar o entendimento das atividades de operações da SOLVIMM. Através das
informações obtidas, por meio do self assessment e da entrevista, a Italtel identificou:

• Contexto organizacional
A Solvimm percebe a importância da segurança da informação e indica esse tema como
um dos valores da empresa. O tema tem grande importância, tanto interna quanto externa
para a organização, pois a natureza dos serviços que ofertam necessariamente agrega a
preocupação com a segurança de seus clientes finais.

• Preocupações do cliente
A Solvimm mostra preocupação com a continuidade das atividades relacionadas a
Segurança da informação dentro da empresa, visto que no passado já ocorreram ações
voltadas ao tema. Existe preocupação especial em adequar as políticas já existentes às
melhores práticas normativas e de mercado, além de conseguir conciliar temas
operacionais da empresa aos requisitos de segurança. Existe também interesse na
formulação de políticas que apoiem o retorno pós pandemia em modelos de trabalho
híbridos(home office e presencialmente no escritório..

• Maturidade em segurança da informação

Foi possível identificar que a política de segurança apresentada está em desacordo com
o proposto na ISO 27001. A organização adota medidas de segurança recorrentes, sendo
algumas periódicas, no entanto, essas medidas não estão documentadas.

Os resultados devem ser utilizados pela equipe da SOLVIMM e ITALTEL para elaboração
de seu plano de ação para elevação do nível de segurança e aumento de nível de resiliência
contra ameaças digitais. Para isso, devem ser endereçadas ações relacionadas com:

• Revisão dos processos, políticas e atividades de Segurança da Informação;

• Aumento do nível de conscientização e sensibilização dos colaboradores;
• Atuação independente e proativa de Segurança da Informação;
• Elevação da maturidade dos aspectos relacionados à Continuidade de Negócios e
operações;
13
 Cyber Talent as a Service
Preparação & Alinhamento estratégico Agosto/2020
Organização de segurança

• Implementar ferramentas e processos formais e documentados de monitoramento de

proteção;
• Aprimorar a gestão dos procedimentos de resposta a incidentes.

3. Direcionadores estratégicos de segurança da informação

Com base no escopo das informações levantadas, dentro do contexto de interesse

apresentado pela SOLVIMM, estão sendo consideradas as ações abaixo para aumento do nível
de maturidade da organização. A definição de um cronograma de ações será alinhado com a
SOLVIMM para priorização de cada objetivo da organização.

1. Alinhamento estratégico de segurança;

2. Mapeamento de Riscos corporativos e riscos cibernéticos;
3. Revisão das Políticas e normativas de segurança;
4. Criação de modelo de gestão e governança de segurança da informação.

Próxima etapa prevista: Alinhamento estratégico de segurança:

Preparação & Alinhamento estratégico

Organização de segurança

14