Avaliação da Segurança
das Informações
ADVISORY
Com as soluções de segurança inundando o mercado e as
respectivas ameaças proliferando diariamente, as empresas
estão priorizando as maneiras de orientar o processo decisório
na administração do risco de segurança da informação.
O desafio é planejar e implantar controles que sejam
proporcionais aos riscos. Porém, como estimar o risco?
E qual a melhor maneira de tratar as questões empresariais,
como o estabelecimento de controles básicos (baseline),
e achar o equilíbrio entre segurança e benefícios para
usuários finais?
Como a KPMG Pode Ajudar?
Os serviços de Avaliação de Segurança das Informações ajudam os clientes
a tomarem decisões sobre suas necessidades de proteger as informações.
A posse de ativos de informações dentro de um ambiente dependente de TI
apresenta riscos. A prática de Risk Advisory Services (RAS) da KPMG assessora
seus clientes na identificação e administração desses riscos.
Fornecemos avaliações técnicas detalhadas da infra-estrutura dos sistemas
de informação, aplicações empresariais, além de políticas e procedimentos
de administração de segurança. Ajudamos os clientes a identificar os pontos
vulneráveis na segurança, avaliar os controles e entender os impactos nos negócios.
Adicionalmente, fornecemos recomendações práticas de melhorias.
O serviço de Avaliação da Segurança das Informações é tanto escalável quanto
flexível. Podemos avaliar pontos isolados ou toda a estrutura de segurança das
informações; um ou vários ambientes da empresa. Os resultados são elaborados
para servir como base para a aplicação das metodologias mais específicas
de Avaliação da Arquitetura de Segurança, sua integração dentro das atividades
da empresa, definição de uma política de segurança das informações, testes
de invasão, entre outras.
© 2005 KPMG Risk Advisory Services Ltda., sociedade brasileira, membro da KPMG International, uma cooperativa suíça. Todos os direitos reservados.
kpmg.com.br
Nossa Abordagem
Nossa abordagem tem por base a proposição de que o valor, as ameaças e as
vulnerabilidades de um ativo de informação representam o nível de risco associado a esse
ativo. Conforme a importância desses fatores aumenta, os riscos também aumentam.
Reciprocamente, ao diminuir a relevância de quaisquer desses fatores, há uma redução
significativa dos riscos. Todos os três fatores têm de ser entendidos antes de ser possível
avaliar o risco de maneira confiável.
Risco = Valor x Ameaça x Vulnerabilidade
As ameaças à segurança das informações vão de curiosos a hackers tecnologicamente
sofisticados. As vulnerabilidades incluem acesso e divulgação não autorizados,
comprometimento da integridade das informações ou negação de serviço. O valor
dos ativos pode ser os benefícios potenciais de fazer negócios na Internet ou o valor da
informação armazenada na rede.
O serviço de Avaliação da Segurança das Informações tem estratégias e técnicas
necessárias para ajudar a mensurar todos os fatores da proposição de risco.
Estimamos o valor de um ativo de informação e sua importância para a estratégia
e continuidade da empresa em termos de disponibilidade, integridade e
confidencialidade. Estamos interessados nos impactos negativos que os eventos
ou ações possam ter no valor do ativo de informações. Determinamos os riscos em
termos das fontes (internas ou externas), natureza (estruturada ou desestruturada)
e agentes (hostis ou não hostis). Mensuramos as vulnerabilidades em termos
de ausência, inadequação ou inconsistência das instalações e dos processos de
segurança. Depois de termos concluído essas medições, podemos identificar e
recomendar as salvaguardas adequadas.
A realização do serviço de Avaliação da Segurança das Informações inclui as
seguintes fases:
• Fase I, Início do Projeto: define o escopo e as áreas de enfoque;
• Fase II, Avaliação de Valores e Ameaças: determina os valores e as ameaças;
• Fase III, Avaliação das Vulnerabilidades: determina as vulnerabilidades;
• Fase IV, Mensuração do Risco: compila dados referentes a valores,
ameaças e vulnerabilidades;
• Fase V, Análise de Risco: gera as visões de risco;
• Fase VI, Fornecimento de Resultados: fornece perfis de risco, melhorias
na segurança, documentação das vulnerabilidades, “quick hits” e recomendações
de longo prazo.
Benefícios
Os serviços de Avaliação da Segurança
das Informações da KPMG oferecem
muitas vantagens aos clientes como,
por exemplo:
• quantificam valores relevantes de
ativos de informações;
• identificam ameaças potenciais e
vulnerabilidades dentro
da infra-estrutura dos sistemas de
informações;
• avaliam a eficácia dos controles de
segurança;
• ajudam os clientes a entender os
riscos significativos de segurança
e os impactos nos negócios;
• desenvolvem oportunidades de
correções de segurança e de
melhorias “quick hits”;
• desenvolvem recomendações das
melhores práticas para corrigir e
melhorar a arquitetura de segurança
da empresa como um todo.
Contatos
Sidney Ito
Tel (11) 3067-3312
Ana Rosa Rios
Tel (11) 3067-3316
[email protected]
As informações contidas neste material podem não se aplicar a situações ou circunstâncias específicas. Apesar da
KPMG buscar publicar informações precisas, não podemos garantir a exatidão em qualquer tempo. Não deverá ser
feito uso das informações sem uma assessoria especializada.
© 2005 KPMG Risk Advisory Services Ltda.,
sociedade brasileira, membro da KPMG International,
uma cooperativa suíça. Todos os direitos reservados.
O nome KPMG e o logotipo KPMG são marcas comerciais e registradas da KPMG International, uma cooperativa
suíça.
Design & produção: Índice de Comunicação