Auditoria e Consultoria de Segurança

• Com o objetivo de avaliar e validar a segurança de infraestruturas tecnológicas e recuperação de dados, a Dognædis oferece um conjunto de serviços de auditoria e consultoria. Estes incluem a especificação, desenvolvimento e treino, tanto de como em soluções, procedimentos e planos de segurança de informação.

• Consultoria de Segurança de Informação

  Serviços especializados com fim de ajudar os clientes a desenvolver um plano para resolver problemas de segurança detetados aquando de uma auditoria de segurança. Para além de apoiar a reparação das vulnerabilidades detetadas, a Dognædis contribui para o desenvolvimento de procedimentos e planos de segurança que sejam mais adequados à organização específica. Para além disso, ajuda a planear estratégias de segurança e planos de contingência para quando ocorrem incidentes, enquanto promove uma consciência orientada para a segurança e promove boas práticas de segurança, sendo este um requerimento obrigatório para uma cultura de segurança sustentável dentro das organizações. Esta área de atuação também abrange a perícia necessária para especificar, desenvolver e implementar soluções de segurança de informação genérica, desde uma configuração simples da infraestrutura ao desenvolvimento de raiz de soluções personalizadas para um contexto específico. O objetivo principal deste serviço é, então, implementar uma segurança holística e também continuada.

• Teste de Vulnerabilidade

  Análise de vulnerabilidades técnicas e tecnológicas numa infraestrutura específica. Este serviço pode abranger desde procedimentos automatizados standard a uma avaliação manual personalizada detalhada da organização.

• Teste de Intrusão

  O teste de intrusão (pentest) é um tipo de auditoria de segurança de informação que adota a perspetiva de um potencial atacante como modo de operação. Com estes testes é possível desenvolver uma avaliação objetiva das potenciais vulnerabilidades e vetores de ataque existentes, identificando assim o que pode ser acedido, roubado ou danificado num ataque real. As observações recolhidas de um pentest são um requerimento obrigatório para o desenvolvimento de procedimentos internos para prevenir e/ou mitigar potenciais vulnerabilidades. Estas observações são também uma fonte de informação necessária para uma forte análise de risco, uma vez que o perfil recolhido sobre a infraestrutura representa riscos realmente quantificáveis. Assim, os principais objetivos de um pentest são:

  Teste e validação de infraestrutura tecnológica actual para avaliar o potencial impacto de um ataque exterior.

  Análise dos dados recolhidos de modo a melhorar, modificar ou criar planos de segurança de informação e/ou soluções de segurança de informação que protejam os dados críticos da organização.

  Criação de procedimentos para recolha de métricas de risco, segurança e resiliência que são continuamente monitorizadas, tanto ao nível mais detalhado a nível técnico como à síntese executiva compreensível pelos níveis superiores de gestão.

• Auditoria de Segurança de Infraestruturas

  Grupo de procedimentos e metodologias convencionais que oferecem uma perspetiva global da infraestrutura alvo, permitindo uma compreensão abrangente do seu estado de segurança de informação. Desta análise é recolhido um grupo de indicadores de segurança, incluindo uma consciencialização do risco e métricas de resiliência. Esta análise inclui não só mas também:

  V&V (verificação e validação) de políticas de segurança;

  V&V das infraestruturas físicas de comunicação;

  V&V da segurança dos sistemas, incluindo identificação das vulnerabilidades;

  V&V dos mecanismos de proteção estabelecidos;

  V&V da suscetibilidade dos colaboradores ao spam;

  Após esta análise é possível:

  Identificar ameaças reais à infraestrutura da organização e o nível de risco associado.

  Oferecer suporte para definir e disseminar planos de segurança que apoiem e não interfiram com os objectivos de negócio.

  Definir planos que previnam elevados custos de reparação mitigando o impacto de potenciais falhas de segurança, tanto de fontes internas como externas.

  Implementar tecnologias personalizadas para apoiar esses planos (não o contrário), maximizando a reutilização da infraestrutura atual, aproveitando assim investimentos anteriores.

  Maximizar novos investimentos para assegurar a continuidade de negócio e não a tecnologia por si mesma.

• Análise Forense

  Este serviço envolve a análise post-mortem detalhada de incidentes de segurança bem como um relatório de danos e recuperação de dados perdidos ou prejudicados. Inclui ainda análises e inquéritos profundos que asseguram um total conhecimento do ocorrido durante o incidente, nomeadamente a sua causa, impacto e abrangência.