• infra-estrutura;
• aplicações;
• engenharia social.

O Ciclo da Infra-estrutura compreende todos os aspectos relacionados a conectividade, tais como:

• redes locais;
• redes de longa distância;
• acessos externos;
• serviços Internet/Intranet;
• servidores e sistemas operacionais;
• sistemas de backup e restore;
• proteção contra vírus;
• segurança física.

O Ciclo de Aplicações compreende a análise das metodologias de desenvolvimento com respeito a requisitos específicos de segurança, tais como:

• controle de acesso;
• log;
• do*****entação;
• política de senhas;
• procedimentos de backup.

O Ciclo de Engenharia Social compreende desde a implementação de políticas de conscientização de funcionários e dirigentes até a elaboração de programas de treinamentos e divulgação de ações de segurança. São também sugeridos modelos de estruturas organizacionais para a condução das políticas de segurança.

A Etapa de Diagnóstico, que compreende uma avaliação do cenário atual da Instituição, é segmentada em ações menores, que são:

• Análise de Perímetro: é composta de uma avaliação sistemática das condições da infra-estrutura relativas à ameaças internas e externas. Como parte da avaliação do cenário poderão ser realizados, sob condições bem definidas, testes de invasão;
   
• Análise de Vulnerabilidade: são avaliadas desde a estratégia e o planejamento da instituição relativas à segurança da informação, até a análise das políticas existentes, controle de acesso físico e lógico, configurações de servidores e práticas correntes;
   
• Análise de Risco e Continuidade do Negócio: são identificadas e do*****entadas as vulnerabilidades e ameaças que podem colocar em risco a continuidade dos negócios da instituição, criando estratégias de continuidade das operações críticas dependentes de TI;
   
• Diagnóstico de Segurança: é apresentado um relatório detalhado descrevendo a situação atual quanto a vulnerabilidade e riscos da instituição, bem como, são apontadas recomendações de procedimentos e práticas para um reposicionamento da instituição quanto à Segurança da Informação.

Na Etapa de Planejamento são detalhadas todas as ações e soluções resultantes da avaliação anterior, em particular:

• Política de segurança com objetivos e atividades que reflitam os objetivos da instituição e que sejam consistentes com a sua cultura;
   
• Desenvolvimento na organização de um entendimento dos requisitos de segurança, dos riscos potenciais e das formas de gerenciamento dos riscos;
   
• Desenvolvimento de procedimentos para divulgação de políticas e padrões de segurança para todos os funcionários e contratados da instituição;
   
• Plano de conscientização baseado em treinamento e educação para a segurança da informação;
   
• Desenvolvimento de um sistema adequado para avaliar o grau de implementação e recolhimento de sugestões para uma atualização contínua das políticas de segurança.

Agora na Etapa de Implementação todas as atividades planejadas serão implementadas levando em conta as prioridades e a abrangência acordadas com a instituição. As implementações também obedecem o conceito de ciclos, entretanto, não existe, necessariamente, uma dependência entre atividades de um ciclo e outro, muitas delas podendo ser executadas em paralelo.

O resultado das implementações deve ser visível para a organização!

Finalmente a Etapa de Monitoramento. Ela é considerada de grande importância como forma de preservação dos investimentos feitos para implementação de políticas e procedimentos de segurança. A experiência mostra que a falta de acompanhamento e auditorias constantes levam ao relaxamento nos procedimentos que, ou se tornam obsoletos em virtude a constante inovação das tecnologias ou introdução de novas ameaças.

O monitoramento pode ainda ser desenvolvido na forma de um serviço permanente oferecido pela TotalView. Visitas periódicas de avaliação podem ser programadas além de acompanhamento remoto contínuo através da analise de log dos principais serviços, tais como: acesso ao firewall, acesso web, correio eletrônico, ftp, telnet, e da atuação direta em casos de incidentes de segurança, notificados por processo automático, no momento da ocorrência.

Podemos ainda executar auditoria de segurança na sua rede de computadores, indicando os melhores procedimentos para aumentar a segurança do seu negócio.

Dentre as atividades previstas em uma auditoria de segurança são realizados testes de penetração controlados, avaliação do controle de acesso para os diferentes tipos de usuários, verificação e análise de trilhas de auditoria, análise das políticas de antivírus e backup, plano de contingências e segregação de ambientes. Cada um destes aspectos podem ser tratados global ou localmente, ou seja, para toda a instituição ou apenas para uma aplicação.

A Auditoria e Diagnóstico de Segurança envolve os seguintes itens:

• Levantamento de serviços e aplicações ativas;
• Detecção de vulnerabilidades;
• Verificação de segurança de perímetro;
• Testes de intrusão e DOS (Denial of Service);
• Verificação de configuração e do*****entação de firewalls;
• Auditoria nas regras e listas de acesso;
• Análise de Logs de sistemas e aplicações;
• Análise de IDS (Intrusion Detection Systems);
• Do*****entação de configuração VPN (Virtual Private Network);
• Diagnóstico e recomendações gerais;
• Do*****entação.

Podemos implantar também, como forma de comunicação segura, uma VPN (Virtual Private Network). Podemos desenvolver, fornecer e implantar essas Redes Virtuais Privadas (VPN Virtual Private Networks) de duas formas distintas: Modalidade Ponto de Acesso e/ou Modalidade Conexão Fixa.

• Modalidade Ponto de Acesso: Implantação de um servidor VPN para que pessoas, por ela autorizadas, possam acessar as informações armazenadas e os sistemas, de uma localidade fora da própria emrpesa, como se estivessem dentro dela.
   
• Modalidade Conexão Fixa: Implantação de um servidor VPN em cada unidade da empresa para que as unidades sejam conectadas de forma segura e assim pode-se centralizar recursos de rede em uma das unidades e todos podem acessar esses recursos como se estivesse na mesma unidade de forma totalmente segura.