Auditoria de SI baseada em risco e o conceito de eventos inaceitáveis
Consideração das especificidades do negócio
Especialistas certificados
Suporte pós-auditoria
Minimização dos riscos de SI
Uma abordagem baseada em riscos para os sistemas de informação é uma forma de garantir os sistemas de informação que se baseia na análise de riscos e sua priorização
O foco está na identificação e compreensão das possíveis ameaças e riscos e na aplicação de medidas de segurança adequadas para gerenciá-los. Essa abordagem exige monitoramento e adaptação contínuos às condições e ameaças em constante mudança.
No decorrer da auditoria, compilamos uma lista consolidada de riscos de SI para a empresa e desenvolvemos uma metodologia para lidar com os riscos
Com base nisso, o Cliente pode decidir o que fazer com o risco no futuro: minimizar, aceitar ou transferir a responsabilidade pelo risco a um terceiro.
Também compilamos uma lista consolidada de eventos de SI inaceitáveis para a empresa
E desenvolvemos recomendações para minimizar a probabilidade de ocorrência de eventos inaceitáveis de SI nos negócios do cliente.
Um evento de SI inaceitável é um evento ou uma ação que viola as políticas, os procedimentos, as regras ou os regulamentos de segurança da informação
Exemplos de tais eventos podem incluir acesso não autorizado, phishing de malware, sites falsos, etc.
O custo de proteção do Ativo não deve exceder o custo dos possíveis danos que poderiam ser causados por sua perda ou comprometimento
O princípio ao qual os Auditores de Segurança da ITGLOBAL.COM aderem durante a prestação do serviço
Por que identificar riscos e compilar uma lista de eventos de SI inaceitáveis
Economia no orçamento de SI
Ajuda a alocar corretamente o orçamento de SI, eliminando primeiro as violações com um alto nível de criticidade
Distribuição de responsabilidades entre os departamentos de TI e SI
Aumentar a eficiência e reduzir o tempo gasto em tarefas
Minimização dos riscos de SI
Com informações sobre possíveis riscos e o grau de criticidade deles para os negócios, você pode se preparar com antecedência para possíveis situações negativas
Reduzir a probabilidade de incidentes de SI
A implementação das recomendações o ajudará a melhorar o nível de proteção de informações confidenciais na empresa
Nossos clientes
Auditoria de SI baseada em risco e o conceito de eventos inaceitáveis.
Pedir um serviço
Durante a prestação do serviço, o Auditor coleta informações sobre os componentes incluídos nas seguintes áreas de pesquisa
Infraestrutura de rede e sem fio
Serviços de infraestrutura (SO, SRC, etc.)
Serviços de aplicativos (DBMS, ERP, etc.)
Proteção de informações confidenciais
Gerenciar o acesso aos componentes da infraestrutura de TI
Controle de segurança (DLP, proteção contra malware, etc.)
Organização da tolerância a falhas dos componentes da infraestrutura de informações
Desenvolvimento seguro de software
O resultado da auditoria dos processos de segurança da informação com base no risco e no conceito de eventos inaceitáveis é um relatório, que consiste em
Resumo
Descrição geral dos resultados da auditoria sem usar terminologia especializada, mas com uma avaliação da criticidade das violações identificadas nos processos de segurança da informação
Relatório detalhado
Descrição do estado atual dos processos de SI das violações identificadas. Fornece informações detalhadas sobre a eliminação das violações detectadas
Áreas de responsabilidade
Esta seção fornece informações sobre a divisão de responsabilidades entre os especialistas de TI e de SI
O que fazer com o relatório
Analisar os resultados
Revise cuidadosamente o Relatório para analisar as violações identificadas, as possíveis consequências e as recomendações de correção.
Desenvolver um plano de ação
Crie um plano de ação para solucionar as violações identificadas nos processos de SI. Estabeleça cronogramas e responsáveis para garantir que cada problema seja tratado adequadamente.
Lidar com os riscos
Tomar medidas para lidar com os riscos e implementar métodos de proteção contra eventos inaceitáveis de SI, de acordo com o plano de ação desenvolvido
Treinar a equipe
Fornecer treinamento aos funcionários para aumentar a conscientização sobre os riscos e as práticas recomendadas de segurança
Como uma auditoria é conduzida
| 01 |
Harmonização da interação |
Forme equipes em ambos os lados, chegue a um acordo sobre um plano de trabalho e prazos para a implementação do projeto
|
| 02 |
Realização de entrevistas |
Realizamos entrevistas com proprietários de processos de negócios, equipe de SI e TI e usuários de sistemas de informação
|
| 03 |
Analisar as informações recebidas |
Identificar problemas de segurança da informação, desenvolver uma lista consolidada de riscos de SI e eventos inaceitáveis
|
| 04 |
Desenvolvimento de um relatório com recomendações |
Descreva o estado atual da segurança das informações na empresa e desenvolva uma lista de medidas para evitar a ocorrência de eventos inaceitáveis de SI
|
| 05 |
Avaliação de risco de SI |
Formular uma lista de ativos com uma avaliação de sua criticidade para a empresa, elaborar um mapa de calor e desenvolver uma metodologia para lidar com os riscos de SI
|
Nossos clientes
Auditoria de SI baseada em risco e o conceito de eventos inaceitáveis.
Pedir um serviço
Soluções relacionadas
Nossos clientes