Objetivo

A análise de vulnerabilidades tem por objetivo verificar a existência de falhas de segurança no ambiente de TI das empresas. Esta análise é uma ferramenta importante para a implementação de controles de segurança eficientes sobre os ativos de informação das empresas.

Descrição

Na análise de vulnerabilidades é realizada uma verificação detalhada do ambiente computacional da empresa, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços que fornece ou desempenha.
A análise de vulnerabilidade sobre ativos da informação compreende Tecnologias, Processos, Pessoas e Ambientes;

  • Tecnologias: software e hardware usados em servidores, estações de trabalho e outros equipamentos pertinentes, como sistemas de telefonia, rádio e gravadores; Ex.: estações sem anti-vírus, servidores sem detecção de intrusão, sistemas sem identificação ou autenticação;
  • Processos: análise do fluxo de informação, da geração da informação e de seu consumo. Analisa também como a informação é compartilha entre os setores da organização; Ex.: Em um processo de compra, se a lista de compra for passada de modo errôneo, esta pode ser deletada ou esquecida, ou interpretada errado. Causando a indisponibilidade do processo ou a falta de integridade dos resultados do processo.
  • Pessoas: as pessoas são ativos da informação e executam processos, logo, precisam ser analisadas. Pessoas podem possuir importantes vulnerabilidades. Ex.: Desconhecer a importância da segurança, desconhecer suas obrigações e responsabilidades, deixando processos com “dois pais” e outros “órfãos”.
  • Ambientes: é o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão instalados os componentes de tecnologia. Este item é responsável pela análise de áreas físicas. Ex.: Acesso não autorizado a servidores, arquivo e fichários;

Benefícios

  • Maior conhecimento do ambiente de TI e seus problemas;
  • Possibilidade de tratamento das vulnerabilidades, com base nas informações geradas;
  • Maior confiabilidade do ambiente após a análise;
  • Informações para o desenvolvimento da Análise de Risco;

Produtos Finais

  • Reunião de conclusão da Análise de Vulnerabilidades;
  • Relatório de Análise de Vulnerabilidades;
  • Resumo Estratégico do Relatório de Vulnerabilidades;
  • Plano de Ação para curto e médio prazo;
  • Reunião de follow-up.