Você está aqui: Página Inicial / Soluções / ANÁLISE DE MATURIDADE EM CIBERSEGURANÇA - Gap Analysys

ANÁLISE DE MATURIDADE EM CIBERSEGURANÇA - Gap Analysys

melhore estrategicamente suas defesas cibernéticas através da avaliação de maturidade de sua cibersegurança

 

Através da combinação dos principais frameworks de mercado em cibersegurança, a Perallis Security desenvolveu uma metodologia personalizada que avalia e recomenda ações em segurança respeitando as peculiaridades das organizações brasileiras.

Para cada item apontado nos relatórios finais, são mencionadas referências equivalentes para as
normas:

  • NIST SP 800-53;
  • ISO/IEC 27001:2013;
  • COBIT 5; e
  • ISA 62443-2-1:2009.

 

 

METODOLOGIA

Calc2

 

Para avaliação o ambiente da organização, a Perallis Security criou uma metodologia de classificação e pontuação para as diferentes áreas analisadas. São estas:

  • Pessoas;
  • Processos; e
  • Tecnologias.

 

Cada área é subdivida em múltiplas categorias visando agrupar conjuntos de informações semelhantes. Cada categoria possui uma abreviação que permitirá rápida identificação. Estas são apresentadas em parênteses na tabela abaixo, em que as categorias analisadas são listadas.

Pessoas

  • Administração de Segurança (AS)
  • Funcionários (FU)

Processos

  • Ativos (AT)
  • Política de Segurança (PS)
  • Gerenciamento de Riscos (GR)

Tecnologias

  • Endpoint (EP)
  • Segurança de Dados (SD)
  • Segurança de Aplicações (SA)
  • Gerenciamento de Acesso e Identidade (GA)
  • Proteção de Rede (PR)
  • Inteligência de Segurança e Operações (IS)

Em todas as categorias há um ou mais tópicos. Tais tópicos descrevem detalhadamente os problemas encontrados no ambiente da organização, além de identificar quais perguntas foram utilizadas para a avaliação daquele assunto. Por fim, com o objetivo de auxiliar na leitura do relatório e fornecer ao cliente uma separação por atividades, elas são classificadas em 5 funções:

  • Identificação (ID) – auxiliar a organização a compreender os riscos existentes em segurança da informação;
  • Proteção (PR) – configurar e implementar métodos que amenizem os riscos;
  • Detecção (DE) – identificar ocorrências que representem riscos ou ameaças a organização;
  • Resposta (RP) – responder aos incidentes detectados;
  • Recuperação (RR) – implementar planos de recuperação em caso de desastres e garantir a capacidade de restaurar todos os serviços.

 

Destaca-se que as categorias não possuem relação com a classificação acima, mas com as perguntas dentro de cada tópico. Estas funções serão chamadas de “IPDRR” no relatório final e são baseadas no framework da NIST conhecido como “Framework for Improving Critital Infrastructure Cybersecurity”.

 

PONTUAÇÃO



Para avaliação do ambiente, o cliente receberá dois diferentes tipos de pontuação:

  • Magnitude; e
  • Nota do ambiente.

A pontuação “Magnitude” aparece em todos os tópicos do relatório, na seção “Resultados Gerais”. Tal valor apresenta a relevância do assunto para a organização em questão e é calculado com
base em 3 pontos:

  • Risco na ausência: nível de gravidade caso o tópico não seja abordado na empresa;
  • Complexidade: nível de complexidade necessário para implementação, configuração e manutenção daquele tópico;
  • Investimento: classificação de investimento necessário à implantação e manutenção daquele tópico.

A magnitude é representada por um número inteiro de 0 (zero) a 10 (dez) e aparece no relatório
como a seguinte figura:

A pontuação “Nota do ambiente” aparece em todos os tópicos do relatório, na seção “Resultados
Gerais” e na seção “Resumo”. Tal nota representa a situação atual da empresa em segurança da
informação e é obtida através das respostas do questionário e das informações coletadas pelo
especialista durante o processo de avaliação.

A nota do ambiente é representada por letras:

 

A

Perfeito – O ambiente da organização possui os requisitos mínimos que fortalecem a segurança da informação.

B

Aceitável – O ambiente possui métodos que visam garantir a segurança da informação, porém não estão sendo abordados corretamente ou estão incompletos.

C

Ruim – O ambiente possui poucos métodos que visam garantir a segurança da informação e mesmo estes poucos estão sendo utilizados incorretamente.

D

Péssimo – O ambiente não possui métodos que visam garantir a segurança da informação.

 

A seção “Resumo” apresentará “Notas do Ambiente” para as categorias, áreas e nota final do
ambiente. Os valores serão calculados da seguinte forma:

  • A nota de toda categoria é a média dos tópicos que ela possui;
  • A nota das áreas é a média das notas das categorias que ela possui; e
  • A nota final do ambiente é a média das notas de todas as áreas.

Na seção “Visão” são apresentadas diferentes tabelas que indicam a prioridade de cada tópico (do mais relevante para o menos relevante) com base nas seguintes informações:
• Magnitude;
• Complexidade;
• Investimento;
• Risco na ausência; e
• Identificação, Proteção, Detecção, Resposta e Recuperação – IPDRR.