No fiquem presos ao contedo, somente um norte para guiar as pesquisas.

. Sarah Auditoria de Segurana em Aplicaes Web O servio Auditoria de Segurana em Aplicaes Web visa identificar ameaas e vulnerabilidades atravs da realizao de aes que simulem ataques aos ativos em questo. Detalhamento das Atividades A anlise consiste na varredura do site em busca de vulnerabilidades conhecidas e da verificao da existncia de boas prticas de segurana no desenvolvimento e manuteno do site. Abaixo veremos a descrio dos principais itens que sero verificados no site, assim como algumas das ferramentas utilizadas:

Produtos Gerados Como produto final o cliente receber um relatrio tcnico detalhado sobre os testes executados e seus resultados, assim como recomendaes de medidas de correo e uma sugesto de um detalhado Plano de Ao. Alm dos produtos listados acima, tambm faro parte do escopo dos servios a serem executados pela CLAVIS os seguintes itens: O registro formal de todas as reunies, entrevistas e decises tomadas ao longo do projeto. Atualizao de toda a documentao do projeto ao longo de sua execuo, conforme padro do Cliente ou proposto pela Clavis. Utilizao de metodologias e ferramentas reconhecidas internacionalmente. Acesso a canal de comunicao dedicado operando em regime de sobre-aviso 24x7x365 para o tratamento de quaisquer eventualidades ou necessidade de contato. Durao do Projeto O tempo do projeto varia de acordo com o escopo e carga horria contratada para realizao de todas as etapas supracitadas, assim como elaborao de relatrio e apresentao de resultados.

Rone Freitas Nogueira Auditoria Teste de Invaso Testes de invaso (penetration tests, ou simplesmente pentests) so simulaes controladas de um ataque real a uma rede, sistema ou ferramenta, visando avaliar a segurana do mesmo. Durante o processo, feita uma anlise ativa de vulnerabilidades, fraquezas e deficincias tcnicas da atual infra-estrutura fsica e lgica compondo os objetos em questo (como sistemas e localidades acessveis ao pblico externo e interno de uma empresa), com destaque para avaliaes de disponibilidade, integridade e confidencialidade das Informaes do Cliente. O servio realizado pela Clavis Segurana da Informao segue os padres internacionais de Testes de Invaso, como NIST 800-42, OWASP, OSSTMM e ISSAF/PTF, alm de utilizar ferramentas exclusivas, sempre com o objetivo de garantir a maior qualidade e confiabilidade possveis para o servio, realizado sempre com total transparncia junto ao Cliente.

Objetivo O servio de Auditoria Teste de Invaso visa identificar ameaas e vulnerabilidades atravs da realizao de aes que simulem ataques aos ativos em questo. Detalhamento das Atividades O servio consiste na realizao de uma auditoria Teste de Invaso na infra-estrutura do cliente, seja remoto ou presencial, objetivando prover informaes sobre vulnerabilidades e brechas que possam ser exploradas por usurios maliciosos. Os testes podem ser originados internamente ou externamente e os auditores podem ou no ter acesso a informaes sobre a estrutura(definio se o teste ser do tipo "caixa preta" ou "caixa branca"). Testes de Negao de Servio podem tambm ser realizados, deste que estejam dentro do escopo do servio contratado pelo cliente. Os diferentes testes realizados sero modelados em rvores de ataque, de acordo com dados identificados antes da etapa de invaso e em conformidade com perfil e limitaes acordados. A ordem de ataques seguir o caminho de menor resistncia a partir de pesos de dificuldade definidos na rvore associada. Ao longo da execuo do servio, toda e qualquer questo crtica identificada ser imediatamente repassada ao Cliente para garantir que o mesmo esteja ciente do problema. Neste caso, a gravidade da questo apresentada ser discutida com o Cliente e mecanismos de contorno ou correes sero apresentados. Com o trmino do servio, toda informao criada ou armazenada nos objetos-alvo dos testes removida, de modo a deixar o sistema o mais prximo do estado em que foi apresentado antes do servio. Toda atividade realizada ser registrada com data/hora e IP de origem e devidamente detalhada no relatrio, assim como a listagem de todas as ferramentas e metodologias utilizadas.

Produtos Gerados Como produto final o cliente receber um relatrio tcnico detalhado sobre os testes executados e seus resultados, assim como recomendaes de medidas de correo e uma sugesto de um detalhado Plano de Ao. Alm dos produtos listados acima, tambm faro parte do escopo dos servios a serem executados pela CLAVIS os seguintes itens: O registro formal de todas as reunies, entrevistas e decises tomadas ao longo do projeto. Atualizao de toda a documentao do projeto ao longo de sua execuo, conforme padro do Cliente ou proposto pela Clavis. Utilizao de metodologias e ferramentas reconhecidas internacionalmente. Acesso a canal de comunicao dedicado operando em regime de sobre-aviso 24x7x365 para o tratamento de quaisquer eventualidades ou necessidade de contato.

Durao do Projeto O tempo do projeto varia de acordo com o escopo e carga horria contratada para realizao de todas as etapas supracitadas, assim como elaborao de relatrio e apresentao de resultados.

Fabio Anlise de Riscos e Vulnerabilidades Objetivo O servio de Auditoria Anlise de Riscos e Vulnerabilidades consiste na avaliao e verificao dos procedimentos de controle e segurana vinculados ao processamento das informaes, visando garantir a qualidade no tratamento das informaes e a integridade, confidencialidade e disponibilidade dos dados Detalhamento do Servio O servio de Auditoria Anlise de Riscos e Vulnerabilidades consiste na avaliao e verificao dos procedimentos de controle e segurana vinculados ao processamento das informaes, visando garantir a qualidade no tratamento das informaes e a integridade, confidencialidade e disponibilidade dos dados O servio consiste na realizao de diversas atividades que visam prover informaes sobre falhas e brechas que possam ser exploradas por usurios maliciosos. As atividades a serem executadas so: Realizao de uma anlise inicial em conjunto com o cliente para o planejamento da execuo do servio de Auditoria, visando otimizar seus resultados assim como minimizar impactos na produtividade da organizao, envolvendo estudo na forma de abordagem e horrios preferenciais de ao; Anlise e avaliao da topologia de rede interna atualmente implementada na empresa, identificando, classificando e segregando logicamente os ativos, de modo a promover um melhor controle de acesso aos mesmos; Mapeamento dos processos crticos relacionados infra-estrutura de TI, categorizando-os de acordo com o impacto causado pela indisponibilidade ou funcionamento incorreto e a probabilidade deste evento ocorrer, recomendando procedimentos que visam a mitigao destes riscos; Verificaes do permetro de rede, controle de acesso externo e segmentaes de segurana. Avaliao do grau de exposio das informaes em relao s diferentes ameaas ao ambiente corporativo, assim como dos diferentes componentes de segurana disponveis no ambiente e grau de proteo fornecido pelos mesmos; Varredura da infra-estrutura lgica da rede do Cliente, avaliando questes de segurana pertinentes aos sistemas operacionais e aplicativos envolvidos, de acordo com as principais vulnerabilidades relacionadas. Apresentao executiva in-loco, contendo destaques dos resultados obtidos com a auditoria e recomendaes de segurana para toda a infra-estrutura contemplada. Planejamento estratgico junto ao cliente visando estabelecer uma ordenao na implantao das contra-medidas, com o intuito de apontar quais os setores mais expostos a brechas na segurana, estabelecendo prioridades na abordagem destas. Relatrio completo dos resultados obtidos na anlise, separados por ativo e relevncia, de modo que o cliente possa escolher com embasamento slido os principais passos a serem tomados para assegurar a segurana de sua infra-estrutura, a continuidade de seu negcio e a produtividade dos membros da organizao. Acesso a nmero de telefone operando em regime 24x7x365 de sobreaviso para o tratamento de quaisquer eventualidades ou necessidade de contato.

Produtos Gerados Relatrio formal impresso e apresentao executiva com detalhamento das atividades realizadas e resultados encontrados, alm de consultoria relacionada. O relatrio conter, entre outros, os seguintes itens: Sumrio executivo; Escopo do projeto; Ferramentas e metodologias utilizadas; Lista de todas as vulnerabilidades, alertas e possveis pontos de melhorias identificados; Plano de Ao com orientaes sobre prioridades de correes a serem aplicadas, possveis impactos de cada uma delas nos atuais processos do cliente e demais consultorias pertinentes.

Alm dos produtos listados acima, tambm faro parte do escopo dos servios a serem executados pela CLAVIS os seguintes itens: O registro formal de todas as reunies, entrevistas e decises tomadas ao longo do projeto. Atualizao de toda a documentao do projeto ao longo de sua execuo, conforme padro do Cliente ou proposto pela Clavis. Utilizao de metodologias e ferramentas reconhecidas internacionalmente.

Durao do Projeto O Projeto normalmente tem previso de 20 (vinte) dias incluindo implementao e realizao de todas as etapas supracitadas.

Marcelo Gerenciamento Centralizado de Vulnerabilidades Objetivo Prestao de Servio do tipo Gerenciamento de Vulnerabilidades visando identificar vulnerabilidades atravs da realizao de auditorias peridicas e do monitoramento de novas ameaas que sejam descobertas. Detalhamento do Servio O servio consiste na automao de procedimentos de auditoria visando monitorar o aparecimento de novas falhas e vulnerabilidades na infraestrutura contemplada. Alm disso so realizadas atividades de mapeamento para controle de inventrio e acompanhamento de implementao de medidas de mitigao. Os dados so coletados e monitorados periodicamente de maneira centralizada contemplando todos os ativos relevantes, emitindo relatrios sobre o estado da segurana dos ativos, alm de alertas para incidentes e relatrios para tracking de medidas de defesa implementadas. O controle das vulnerabilidades feito atravs da ferramenta QualysGuard que prov uma srie de testes de segurana, podendo atuar externamente (para IPs pblicos) ou internamente atravs de um appliance (para IPs internos) colocado dentro da infraestrutura contemplada. Atravs da avaliao do comportamento dos ativos possvel obter um diagnstico preciso sobre a segurana da mesma assim como detectar em tempo real qualquer nova ameaa que aparea, facilitando a tomada de medidas de mitigao. Juntamente com a proposta em questo ser alocado o appliance do Qualys Guard que possibilita a varredura por vulnerabilidades nos ativos contemplados mesmo que dentro de uma intranet. O QualysGuard usado hoje em mais de 5.000 organizaes em 85 pases, incluindo 47 das 100 maiores empresas segundo o Fortune Global 100. O equipamento ficar dentro das instalaes do cliente e executar os scans conforme modelagem da auditoria. Produtos Gerados Como produto o cliente receber os seguintes itens: Relatrios tcnicos detalhados periodicamente sobre o estado de segurana da infraestrutura contemplada. Alertas sobre novas ameaas em tempo real. Planos de Ao e Relatrios de Acompanhamento de medidas de mitigao de ameas. Atualizao de toda a documentao do projeto ao longo de sua execuo, conforme padro do Cliente ou proposto pela Clavis.

Durao do Projeto O Projeto tem previso de 5 dias para implementao dos controles e durao de 12 meses.