Auditoria & Pentesting
Através dos nossos serviços de auditoria, testes de penetração e Red Team, avaliamos a exposição dos Sistemas de Informação (SI) terciários e industriais do cliente, bem como dos seus dispositivos IoT, a um ciberataque, e auxiliamo-lo com uma abordagem de melhoria contínua à sua postura de segurança da informação.
Para fornecer garantias e fortalecer a confiança dos nossos clientes, envolvemo-nos num processo de rotulagem e certificação dos nossos serviços e recursos.
Contamos com a qualificação PASSI para todas as áreas: auditoria organizacional e física, auditoria de arquitetura, auditoria de configuração, auditoria de código e pentesting.
Esta qualificação assegura, entre outras coisas, um elevado nível de experiência dos nossos auditores para com os nossos clientes, bem como um processo de auditoria robusto e comprovado.
Os nossos serviços de auditoria
Uma ampla gama de serviços, quer o cliente esteja à procura de uma avaliação abrangente ou direcionada.
Identificação e correção de vulnerabilidades de software, redes e dispositivos.
Descobrir a nossa oferta de testes de intrusão dedicada a objectos conectados (IoT).
Os nossos auditores avaliam a gestão de segurança dos sistemas de informação do cliente em relação a normas de referência, aos seus benchmarks internos e setoriais, e aos seus riscos operacionais.
Os nossos especialistas avaliam as medidas de segurança técnicas e organizacionais dos sistemas de informação do cliente em relação às necessidades de segurança em termos de disponibilidade, integridade, confidencialidade e rastreabilidade, tendo em conta as ameaças que o sistema em questão irá enfrentar.
Os nossos auditores analisam as configurações dos equipamentos essenciais que compõem os sistemas de informação do cliente, comparando-as com as políticas internas de segurança e normas reconhecidas.
Os nossos especialistas conduzem uma avaliação abrangente das aplicações web, móveis, thick clients, e contratos inteligentes. Combinamos análise estática automatizada com revisão de código humana e avaliação dinâmica para identificar vulnerabilidades e melhorar a segurança das aplicações.
Os nossos pentesters operam num âmbito definido com o cliente, simulando ataques a partir de vários pontos de acesso, tanto de fora como de dentro das suas redes ou direcionando-se para sistemas e equipamentos específicos. Ajudam a definir cenários e a escolher as abordagens (black box, gray box e white box) que melhor se adequam aos objetivos de segurança.
Os nossos pentesters mais experientes simulam e executam um ataque avançado completo contra a empresa do cliente, desde a recolha de informações até à recuperação de documentos confidenciais ou ao acesso a funcionalidades críticas, passando pela exploração de vulnerabilidades técnicas ou humanas. Este serviço desafiará as equipas de deteção e resposta a incidentes de segurança.
O âmbito dos nossos serviços
Tecnologia da Informação (TI)
- Infraestrutura: centros de processamento de dados, redes empresariais, clouds privadas e públicas.
- Sistemas: servidores, virtualização, hipervisão, orquestração, containerização.
- Telecomunicações e VoIP.
- Redes Wi-Fi.
- Terminais fixos e móveis (Windows, Linux, Android, iOS, específicos).
- Aplicações web, nativas e móveis, hospedadas no local ou com fornecedores de cloud.
- Aplicações Web3, blockchain, contratos inteligentes.
Tecnologia Operacional (TO)
- Sistemas de controle industrial (ICS).
- Sistemas SCADA.
- Controladores Lógicos Programáveis (PLC).
- Sistemas de Controle Distribuído (DCS).
- Sistemas Instrumentados de Segurança (SIS).
- Vários sistemas integrados.
- Cartões inteligentes (Java Card...).
Internet of Things (IoT)
- Infraestrutura IT em cloud, interfaces web/API.
- Aplicações móveis.
- Comunicação (NFC/RFID, BT/BLE, UMTS/LTE, WIFI...).
- Sistemas de atualização.
- Firmware.
- Interfaces físicas (USB, JTAG, SD...).
- Hardware.
Os principais benefícios das auditorias de segurança
Por que é essencial realizar regularmente auditorias de segurança?
Identificar vulnerabilidades e mitigar riscos:
Deteta falhas de segurança o mais cedo possível e reduz os riscos para preservar a integridade dos sistemas contra ameaças. A deteção precoce é essencial para fortalecer a resiliência.
Aprimorar postura de segurança:
Ao avaliares proativamente e regularmente a infraestrutura de IT da empresa, simplificas a proteção dos dados, sistemas e redes, evitando perdas financeiras.
Assegurar o compliance:
Assegura o cumprimento dos requisitos de compliance e padrões impostos pela indústria por meio de auditorias de segurança regulares. Dessa forma, evitas consequências legais e financeiras que podem prejudicar a empresa.
Prevenir riscos financeiros:
Ao tomar medidas preventivas, a empresa protege-se contra perdas financeiras devido a problemas de segurança graves, como violações de dados, implantações de ransomware, sanções legais e, em última instância, a perda de clientes.