Security Planning

O planejamento dos controles para as suas aplicações desenhados de forma adequada para cada cenário e dentro das suas expectativas.

O planejamento sempre custa menos do que a correção

Quando um componente é implementado sem que haja um planejamento dos controles, o risco de uma vulnerabilidade tornar-se um problema é alto. Sem os controles desenhados de forma adequada, além do custo das medidas corretivas em uma revisão de segurança, existem impactos que dificilmente podem ser mensurados em termos financeiros absolutos.

O relatório “The True Cost of Compliance”, publicado pelo Ponemon Institute em Janeiro de 2011, aborda o quanto as empresas gastam ao desenvolver controles para a aderência a padrões de forma reativa ao invés de trabalhar com a prevenção obtida com o planejamento prévio. Usando dados de 46 empresas, as análises mostraram que o custo para desenvolver e implementar os controles que garantem a aderência a um padrão é de, em média, US$ 222 por funcionário. Quando os valores referentes aos esforços necessários para atingir o mesmo objetivo de forma reativa, este custo sobe para US$ 820 por funcionário.

A origem dos custos indiretos

Quando o relatório faz uma análise dos motivos para esta grande diferença de valores, os resultados atestam algo que é sabido pelas empresas que já passaram por esta situação. Os custos diretos com o processo de aderência representam somente 40% do valor total, estando os 60% restantes compostos pelos custos indiretos. Estes variam de acordo com o mercado e porte da empresa, mas essencialmente giram em torno de situações nestas linhas:

  • Valores gastos com auditorias externas e empresas de consultoria para construir os controles após a ocorrência de um evento de ruptura, tal como o vazamento de uma informação confidencial.
  • Custos com adequação da infra estrutura para garantir a aderência a uma regulamentação. Nova configuração e controles de acesso para bancos de dados e a conseqüente capacitação dos funcionários no uso adequado dos recursos é um exemplo comum.
  • Queda expressiva nos valores das ações de empresas com capital aberto, o que deu origem às primeiras regulamentações em massa que incluíram controles em Tecnologia da Informação, tal como a Sarbanes-Oxley.

Definir previamente como os controles que garantem a segurança dos seus sistemas e dados por eles processados é a solução mais adequada não só pelo menor custo comprovado, mas ainda por permitir que a sua equipe conheça as falhas potenciais desde o começo e possa desenhar soluções para serem aplicadas durante todo o road map da iniciativa em questão.

O planejamento dos controles como nossa responsabilidade

Desenhamos o Conviso Security Planning para ser adequado a cada necessidade de nossos clientes, onde podemos planejar controles de segurança que estejam de acordo com as suas expectativas, estratégias e disponibilidade de investimento. Podemos auxiliar a sua empresa a desenhar quais controles de segurança serão necessários quando um projeto está sendo criado, ou ainda quando você já tem algo iniciado e é necessário que a proteção dos ativos seja definida de acordo com as características planejadas para o ambiente.

O processo de trabalho é composto por quatro fases complementares, onde a sua equipe trabalha junto conosco seguindo nossos valores de compartilhar o conhecimento e estabelecer uma parceria duradoura com nossos clientes.

  1. Análise do Projeto: Entendemos suas expectativas e como iremos trabalhar dentro da cultura da sua empresa. Com o resultado estabelecemos os critérios para a busca de soluções e alinhamos o planejamento do projeto.
  2. Pesquisa de Soluções: Preparamos um conjunto de soluções adequado à sua capacidade de investimento e prazo para execução do projeto.
  3. Definição do Modelo: Discutimos as opções pesquisadas com a sua equipe, seus clientes internos, parceiros e o patrocinador do projeto. Após avaliarmos as soluções, preparamos uma versão que pode ser imediatamente utilizada no seu planejamento.
  4. Apresentação de Resultados: Apresentamos nossas recomendações, entregando os produtos contratados e recomendando as próximas etapas para a sua administração dos controles planejados.

Opções de Contratação

Nossas linhas de serviços profissionais são desenhadas de forma metódica e estruturada dentro dos conceitos de qualidade e precisão que caracterizam os projetos que conduzimos. O Conviso Security Planning pode ser aplicado para planejar os controles em três abordagens suportadas pelo Conviso Labs e aprovadas por nossos clientes.

  • PCI Gap Analysis: Avaliamos a aderência dos controles existentes com os requisitos do PCI DSS e entregamos um relatório apresentando quais etapas devem ser cumpridas para garantir a aderência ao padrão.
  • SDL Gap Analysis: Analisamos os processos de suporte ao desenvolvimento seguro de software nas empresas e apresentamos um planejamento para a construção e implementação de um Secure Development Lifecycle dentro de um nível crescente de maturidade.
  • Application Security Planning: Projetos para definir no nível estratégico quando e como a empresa deve investir no planejamento de segurança para uma aplicação. Como resultado, desenhamos um road map para o uso dos recursos e conseqüente economia nos custos relacionados.