VRM (Vulnerability Risk Management)
O serviço é composto por 4 módulos distintos:
Portal de Gestão Web do Serviço
O Portal de Serviço é a interface principal que provê o Serviço VAMPS –Gestão de Vulnerabilidades aos usuários do cliente, centralizando as informações geradas por todos os módulos do serviço. Fornece ao cliente um painel de controle com uma única visão de todos os ativos, vulnerabilidades associadas, classificação da severidade de acordo com os de mercado, recomendações para correção do com os ou remediação, relatórios personalizados, histórico de execuções e fluxo e trabalho para tratamento dos alertas.
O Portal de Gestão Web disponibiliza relatórios que contêm os resultados obtidos pelos auditores durante a execução de testes em cada análise e podem conter as seguintes seções:
Sumário Executivo
Descrição de alto nível sobre os testes, com destaque para uma visão geral dos resultados obtidos
Recomendações de segurança
Cada vulnerabilidade ou risco identificado é complementado com a recomendação necessária para a mitigação
Descrição dos testes realizados
Descrição detalhada dos testes realizados pela equipe de auditoria. Contém informações para que os testes sejam reproduzíveis por um técnico
Evidências obtidas
Cada resultado deve ser acompanhado de provas
Veja os princípais benefícios
- Prevenção e mitigação de vulnerabilidades;
- Detecção antecipada de ameaças e suporte na priorização de vulnerabilidades;
- Redução de custos em recursos, treinamento e documentação para conhecer as vulnerabilidades que afetam à organização;
- Medidas mitigadoras e corretivas nas vulnerabilidades detectadas (automática e continuamente) com a supervisão de especialistas;
- Acompanhamento do ciclo de vida das vulnerabilidades e suporte na tomada de decisão baseada em riscos críticos; em conformidade com as políticas internas, requisitos de segurança, regulamentos e normas de clientes e acionistas.
Tire suas dúvidas sobre Vulnerability Risk Management
-
A solução de Vulnerability Risk Management possibilita o entendimento do negócio, objetivos e requisitos do cliente; aplicando testes de segurança mais apropriados de acordo com a sua maturidade e desafios em segurança cibernética.
-
- Melhoria da postura de segurança cibernética por meio do conhecimento dos riscos que possam favorecer a exposição das informações e que precisam ser corrigidos;
- Aumento da proteção e mitigação dos riscos que possam impactar a reputação da marca; reduzindo custos em recursos, treinamento e documentação para conhecer as vulnerabilidades que afetam à organização;
- Acompanhamento do ciclo de vida das vulnerabilidades e suporte na tomada de decisão baseada em riscos críticos; em conformidade com as políticas internas, requisitos de segurança, regulamentos e normas de clientes e acionistas.
-
As capacidades estão divididas em:
- Identificação e análise das vulnerabilidades presentes nos ativos;
- Análise da integridade de infraestrutura e avaliação da efetividade dos controles de segurança;
- Simulações de ações realizadas por um atacante externo ou interno que pretende burlar a segurança no ambiente da organização;
- Testes de resistência às ameaças cibernéticas e a construção de mecanismos de defesa e estratégias de remediação altamente eficazes;
- Identificação de vulnerabilidades em aplicações web, aplicativos móveis e APIs para a elaboração de recomendações e melhoria da segurança.
-
- Notificações;
- Alertas de vulnerabilidades;
- Elaboração de relatório mensal;
- Geração de e-mails por eventos relacionados a ativos, ocorrências, relatórios e projetos conforme configuração no portal do cliente;
- Elaboração de relatório através do portal do cliente para verificação da qualidade do serviço e das atividades desenvolvidas no cliente neste período;
- Geração de e-mails automáticos e manuais do módulo de alertas de vulnerabilidades acionados por regras de alerta sobre vulnerabilidades e enviados pela equipe de segurança com vulnerabilidades relevantes.
-
O cliente será contatado para participar da reunião inicial, no qual:
- Um membro entrará em contato com o cliente para organizar a reunião inicial e explicar o planejamento das atividades a serem desenvolvidas para a correta execução do serviço contratado;
- O cliente fornecerá toda a informação necessária para a configuração das ferramentas e a prestação do serviço de acordo com o escopo contratado. Isso inclui fornecer informações de objetivos específicos para cada um dos módulos contratados e as questões de maior relevância e / ou impacto para a organização: KPIs do processo de gestão de vulnerabilidade, informações sobre metas, requisitos de conformidade, operações de segurança interna e quaisquer outras informações relevantes necessária para uma adaptação do Serviço.
Todas as informações solicitadas ao cliente serão registradas no documento de provisão a ser fornecido. As informações necessárias incluirão os contatos de escalonamento, os usuários que devem ter acesso ao portal do cliente para fazer download dos relatórios de serviço, acesso a painéis e fluxos de trabalho de correção para gerenciar vulnerabilidades e rastrear seu status.
Além disso, o Serviço proporcionará ao cliente uma sessão de treinamento sobre o portal do cliente com explicações detalhadas das suas funcionalidades para garantir uma ótima utilização da plataforma.
Uma vez concluídas as fases de provisão e configuração, o serviço entrará em operação e será prestado de acordo com o escopo definido no contrato do cliente. O cliente será comunicado pelos canais acordados (por exemplo, e-mail) a disponibilidade do serviço contratado, para proceder a partir desse momento ao faturamento do mesmo, conforme detalhado na seção de faturamento correspondente.
-
O ciclo de vida da solução de Vulnerability Risk Management possui 4 etapas principais:
- Planejamento: Alcance, requisitos e limitações.
- Execução: Descoberta, análise e exploração.
- Comunicação dos resultados: Relatórios, notificações e recomendações.
- Gestão de Vulnerabilidades: Suporte consultivo para remediação, certificação da vulnerabilidade e monitoramento da remediação.
-
O modelo comercial da solução de Vulnerability Risk Management é composto por:
1. Inclusos:
- Relatório;
- Planejamento;
- Execução do teste;
- Alertas de vulnerabilidades;
- Análise de resultados e recomendações;
- Portal do cliente: Gerenciador de documentos;
2. Opcionais:
- Re-Teste;
- Suporte Pós Teste;
- Certificação de vulnerabilidades;
- Portal do cliente: Remediation Tracking.
-
Os segmentos comerciais da solução de Vulnerability Risk Management estão classificados por Corpovate V, Corporate e Top.
-
Sim. É necessário a instalação do software da solução para a execução da capacidade de varredura interna de vulnerabilidades.
-
O cliente poderá comunicar incidentes e solicitações da solução de Vulnerability Risk Management por meio dos canais principais:
1. Central de Relacionamento (nível 1):
- A Central de Relacionamento é responsável por registrar todos os chamados dos clientes. Uma vez que se identificou que o caso está além das possibilidades de resolução pela própria Central, o chamado é direcionado para o Centro Técnico/SOC (nível 2) que, se necessário, aciona seus parceiros tecnológicos (nível 3) para atender o cliente.
2. Equipe de Segurança por telefone e/ou e-mail:
- No agendamento 8x5 o contato preferencial serão os analistas locais.