Avaliação da Segurança

das Informações
ADVISORY

Com as soluções de segurança inundando o mercado e as

respectivas ameaças proliferando diariamente, as empresas
estão priorizando as maneiras de orientar o processo decisório
na administração do risco de segurança da informação.
O desafio é planejar e implantar controles que sejam
proporcionais aos riscos. Porém, como estimar o risco?
E qual a melhor maneira de tratar as questões empresariais,
como o estabelecimento de controles básicos (baseline),
e achar o equilíbrio entre segurança e benefícios para
usuários finais?

Como a KPMG Pode Ajudar?

Os serviços de Avaliação de Segurança das Informações ajudam os clientes
a tomarem decisões sobre suas necessidades de proteger as informações.
A posse de ativos de informações dentro de um ambiente dependente de TI
apresenta riscos. A prática de Risk Advisory Services (RAS) da KPMG assessora
seus clientes na identificação e administração desses riscos.

Fornecemos avaliações técnicas detalhadas da infra-estrutura dos sistemas

de informação, aplicações empresariais, além de políticas e procedimentos
de administração de segurança. Ajudamos os clientes a identificar os pontos
vulneráveis na segurança, avaliar os controles e entender os impactos nos negócios.
Adicionalmente, fornecemos recomendações práticas de melhorias.

O serviço de Avaliação da Segurança das Informações é tanto escalável quanto

flexível. Podemos avaliar pontos isolados ou toda a estrutura de segurança das
informações; um ou vários ambientes da empresa. Os resultados são elaborados
para servir como base para a aplicação das metodologias mais específicas
de Avaliação da Arquitetura de Segurança, sua integração dentro das atividades
da empresa, definição de uma política de segurança das informações, testes
de invasão, entre outras.

© 2005 KPMG Risk Advisory Services Ltda., sociedade brasileira, membro da KPMG International, uma cooperativa suíça. Todos os direitos reservados.
kpmg.com.br

Nossa Abordagem Benefícios

Nossa abordagem tem por base a proposição de que o valor, as ameaças e as Os serviços de Avaliação da Segurança
vulnerabilidades de um ativo de informação representam o nível de risco associado a esse das Informações da KPMG oferecem
ativo. Conforme a importância desses fatores aumenta, os riscos também aumentam. muitas vantagens aos clientes como,
Reciprocamente, ao diminuir a relevância de quaisquer desses fatores, há uma redução por exemplo:
significativa dos riscos. Todos os três fatores têm de ser entendidos antes de ser possível • quantificam valores relevantes de
avaliar o risco de maneira confiável. ativos de informações;
• identificam ameaças potenciais e
Risco = Valor x Ameaça x Vulnerabilidade vulnerabilidades dentro
As ameaças à segurança das informações vão de curiosos a hackers tecnologicamente da infra-estrutura dos sistemas de
sofisticados. As vulnerabilidades incluem acesso e divulgação não autorizados, informações;
comprometimento da integridade das informações ou negação de serviço. O valor • avaliam a eficácia dos controles de
dos ativos pode ser os benefícios potenciais de fazer negócios na Internet ou o valor da segurança;
informação armazenada na rede. • ajudam os clientes a entender os
riscos significativos de segurança
O serviço de Avaliação da Segurança das Informações tem estratégias e técnicas e os impactos nos negócios;
necessárias para ajudar a mensurar todos os fatores da proposição de risco. • desenvolvem oportunidades de
Estimamos o valor de um ativo de informação e sua importância para a estratégia correções de segurança e de
e continuidade da empresa em termos de disponibilidade, integridade e melhorias “quick hits”;
confidencialidade. Estamos interessados nos impactos negativos que os eventos • desenvolvem recomendações das
ou ações possam ter no valor do ativo de informações. Determinamos os riscos em melhores práticas para corrigir e
termos das fontes (internas ou externas), natureza (estruturada ou desestruturada) melhorar a arquitetura de segurança
e agentes (hostis ou não hostis). Mensuramos as vulnerabilidades em termos da empresa como um todo.
de ausência, inadequação ou inconsistência das instalações e dos processos de
segurança. Depois de termos concluído essas medições, podemos identificar e
recomendar as salvaguardas adequadas.

A realização do serviço de Avaliação da Segurança das Informações inclui as

seguintes fases:
• Fase I, Início do Projeto: define o escopo e as áreas de enfoque;
• Fase II, Avaliação de Valores e Ameaças: determina os valores e as ameaças;
• Fase III, Avaliação das Vulnerabilidades: determina as vulnerabilidades;
• Fase IV, Mensuração do Risco: compila dados referentes a valores,
ameaças e vulnerabilidades;
• Fase V, Análise de Risco: gera as visões de risco;
• Fase VI, Fornecimento de Resultados: fornece perfis de risco, melhorias
na segurança, documentação das vulnerabilidades, “quick hits” e recomendações
de longo prazo. Contatos
Sidney Ito
Tel (11) 3067-3312

Ana Rosa Rios

Tel (11) 3067-3316

rasbrasil@kpmg.com.br

As informações contidas neste material podem não se aplicar a situações ou circunstâncias específicas. Apesar da © 2005 KPMG Risk Advisory Services Ltda.,
KPMG buscar publicar informações precisas, não podemos garantir a exatidão em qualquer tempo. Não deverá ser sociedade brasileira, membro da KPMG International,
feito uso das informações sem uma assessoria especializada. uma cooperativa suíça. Todos os direitos reservados.
O nome KPMG e o logotipo KPMG são marcas comerciais e registradas da KPMG International, uma cooperativa
suíça. Design & produção: Índice de Comunicação