Segurança de TI

A digitalização impõe uma abordagem eficaz à segurança das TI

A evolução da segurança digital da sua organização é um objetivo fundamental que pode ser alcançado através do alinhamento entre os colaboradores, os processos e a tecnologia. Dado que os processos de negócio e a atividade da organização se encontram assentes nos sistemas de informação é fulcral proteger este ativo.

A segurança das TI não envolve apenas a tecnologia, o hardware e o software, envolve a proteção dos dados, a informação, os processos, a cultura organizacional – envolve toda propriedade intelectual da organização.

O crescente número de ataques às TI destaca a necessidade de considerar a segurança dos sistemas de informação como um fator crítico de negócio.

Para reduzir o risco de disrupções de negócio, de mitigar falhas complexas nos sistemas, de cumprir com os requisitos legais envolventes e garantir a sustentabilidade futura da organização, estas devem ter implementado controlos que permitam obter uma visão global efetiva do nível de segurança presente nas suas infraestruturas. 

António Loureiro, Risk Assurance Partner, PwC Portugal

“A segurança das TI não envolve apenas a tecnologia, envolve toda a propriedade intelectual da organização. O crescente número de ataques às TI destaca a necessidade de considerar a segurança dos sistemas de informação como um fator crítico de negócio.”

António Loureiro,Risk Assurance Partner, PwC Portugal

Serviços de segurança de TI

A PwC permite criar confiança através do suporte na gestão de riscos no ciber espaço, mais especificamente através de testes de intrusão, os quais envolvem a execução de ataques diversificados e com elevada frequência à infraestrutura de rede de modo a conseguir comprometer as proteções lógicas de segurança e ter acesso a componentes restritas.

Os resultados dos testes de intrusão permitem identificar objetivamente que vulnerabilidades existem e quais os riscos associados.

Serviços de Segurança de TI da PwC Portugal

Como gerir a cibersegurança?

1. Identificar ameaças A PwC ajuda-o a a identificar as principais ameaças à segurança digital nos dias de hoje.

Partilhamos abaixo as cinco principais ameaças à segurança da informação:

  • DOS/ DDOS (Denial Of Service / Distributed Denial Of Service)
    Direcionado a criar indisponibilidade de serviço e impossibilitar a organização de operar os seus sistemas, levando a uma potencial perda financeira.
  • MITM (Man-in-the-middle)
    Ataques que visam obter acesso privilegiado a informação. Se for efetuado na rede interna poderá ter impacto elevado.
  • Password cracking / Bruteforce
    Processo de descoberta de passwords, através de tentativa e erro. Só é passível de ser efetuado se os serviços não estiverem protegidos com os devidos controlos de segurança.
  • Ramsomware
    O ataque que tem sido mais noticiado. A informação é encriptada e apenas fica disponível após pagamento de uma quantia. Pagar este valor não garante a recuperação dos dados. Este tipo de ataque normalmente é despoletado através da rede interna, contudo a ameaça pode ser proveniente do exterior (e.g. abertura de um e-mail infetado).
  • Ataques de engenharia social
    Uma das grandes vulnerabilidades dos sistemas, encontra-se nas pessoas que os operam. Apenas estas são capazes de contornar controlos, por mais rígidos que sejam. E é por este motivo que é importante não descurar possíveis ataques de engenharia social. É fundamental a consciencialização para o tema, normalmente denominada por “security awareness”.

Tem dúvidas? Nós ajudamos!
2. Analisar o risco Antes de implementar melhorias no ambiente de segurança, é fundamental efetuar a devida análise de risco. A PwC explica-lhe tudo.

Que sistemas devem estar salvaguardados?

É necessário um forte investimento financeiro para tornar as aplicações robustas do ponto de vista de segurança e acima de tudo é necessário assegurar que este investimento é feito periodicamente, pois estão constantemente a surgir novas ameaças. É neste sentido que a análise de risco se torna fundamental, para determinar quais são as aplicações mais críticas para a continuidade do negócio e quais são as aplicações que contêm dados mais relevantes.

O foco de segurança deve ser essencialmente sobre estas aplicações, para assegurar que caso haja uma falha de segurança, os dados não serão divulgados a terceiros.

Quanto maior a exposição à internet (e-mails, websites, outros serviços), maior é a probabilidade do ser alvo de ataque. Também deve ser ponderada a real necessidade de exposição de determinados serviços.

Apenas após a determinação do âmbito é que devem direcionar os esforços à melhoria do ambiente de TI.

Tem dúvidas? Nós ajudamos!
3. Elaborar um plano de ação Após serem determinados os assets críticos, deve ser elaborado um plano de ação para salvaguardá-los. Saiba como fazê-lo.

Como salvaguardar a sua organização? Assumindo que já foi feito o exercício de IT Risk Assessment, é necessário elaborar um plano de ação no qual deve ser considerado o seguinte:

  • Experiência da equipa de IT
    Entenda se equipa de IT é experiente e tem conhecimentos de segurança de informação. Se não existirem estes conhecimentos dentro da organização é fundamental formar elementos e/ ou contratar serviços específicos na área.
  • Cumprimento de boas práticas de segurança de TI
    Caso o serviço esteja contratualizado com fornecedores externos, assegure que estes cumprem com as boas práticas de segurança de informação (e.g. certificações ISO27001);
  • Consciencialização para a segurança de informação
    Certifique-se que existe dentro da organização uma consciencialização para a segurança de TI. Os colaboradores são também uma linha de defesa muito relevante que não deve ser descurada.
  • Comunicações efectuadas por canal seguro
    Confirmar que todas as comunicações estão a ser efetuadas por um canal seguro, para não serem passíveis de ser interpretadas.
  • Atualizações de software hardware
    Assegurar que software hardware (sistemas operativos, antivírus, bases de dados, firewall, VPNs) em uso é atual e tem as últimas atualizações de segurança. Assegurar a existência de um processo de revisão para garantir a atualização atempada dos mesmos.
  • Testes ao software
    Software deve ser testado para garantir que foi desenvolvido com elevados padrões de segurança e não está vulnerável a ataques (e.g. bruteforce, SQL Injection,…).

4. Efectuar testes de intrusão Os testes de intrusão na segurança da rede utilizam diversas ferramentas e métodos de avaliação de vulnerabilidade.

Os testes de intrusão devem ser considerados apenas como última etapa, apenas após assegurarem que já foram implementados todos os controlos necessários.

Os testes de intrusão realizados pela PwC incidem sobre todos os elementos da infraestrutura IT:

  • Aplicação – análise de vulnerabilidade no servidor no qual assenta o sistema, configurações, funcionalidades;
  • Plataformas web – testes de intrusão a partir da Internet e Intranet;
  • Testes de carga – os quais permitem simular a utilização intensiva de utilizadores e avaliar a estabilidade da plataforma;
  • WIFI – análise de vulnerabilidade no acesso e métodos de encriptação na comunicação Wireless
  • Firewall – identificação de vulnerabilidades às configurações
  • VPN – identificação de vulnerabilidades sobre a VPN; 

Através dos testes de intrusão é possível avaliar:

  • Nível de segurança implementado na configuração dos sistemas;
  • Eficácia dos mecanismos de prevenção e de deteção de ataques;
  • A natureza de informação potencialmente comprometida por atacantes.

Tem dúvidas? Nós ajudamos!
Siga-nos

Contacte-nos

Gabriela Teixeira

Gabriela Teixeira

Consulting Lead Partner, PwC Portugal

Tel: +351 213 599 314

António Loureiro

António Loureiro

Risk Assurance Partner, PwC Portugal

Cláudio Silva Alves

Cláudio Silva Alves

Cybersecurity Operations Partner, PwC Portugal

Marcelo Ferreira Rodrigues

Marcelo Ferreira Rodrigues

Cybersecurity & Privacy Partner, PwC Portugal

Tel: +351 225 433 000

Miguel Fernandes

Miguel Fernandes

Consulting Partner, PwC Portugal

Tel: +351 213 599 314

Fechar