Gestão Operacional de Infraestrutura e Segurança da Informação em Cloud SaaS - COC - Perguntas frequentes (FAQ)

Sim, a Senior Sistemas possui um processo bem definido de Gestão de Mudanças para operação em Cloud.

O processo é dividido em três tipos de mudanças:

• GMUD Padrão: Mudança de baixo risco, previamente aprovada e sem impacto significativo nos serviços. Não exige aprovação do CAB.

• GMUD Normal: Mudança planejada com algum impacto, necessitando aprovação do CAB. Exige análise de riscos e estratégias de mitigação.

• GMUD Emergencial: Mudança urgente para resolver falhas críticas, aprovada por um CAB Emergencial que age rapidamente.

Sim, a Senior Sistemas tem um processo robusto de Gestão de Backup para operação em Cloud.

O processo de Gestão de Backup envolve os seguintes controles:

• Monitoramento de Backups: Monitoramento contínuo para verificar a execução e conclusão dos backups, com alertas automáticos em caso de falhas.

• Teste de Restore Trimestral: Amostras de backups são restauradas trimestralmente para garantir a integridade dos dados.

• Teste de DR (Disaster Recovery) Semestral: Simulação semestral de desastres para verificar a capacidade de recuperação dos sistemas críticos.

Sim, a Senior Sistemas possui um processo completo de Gestão de Vulnerabilidades para ambientes Cloud.

O processo de Gestão de Vulnerabilidades inclui:

• Monitoramento Contínuo: Utilização de ferramentas como SIEM e XDR para detectar e responder a ameaças cibernéticas.

• Aplicação de Patches de Segurança: Patches são aplicados mensalmente, após testes em ambientes controlados.

• Escaneamento de Vulnerabilidades: Ferramentas de escaneamento regular identificam pontos fracos e vulnerabilidades críticas são tratadas com prioridade.

Sim, a Senior Sistemas tem um processo estruturado para a Gestão de Capacidade e Monitoramento de ambientes Cloud.

O processo inclui:

• Controle de Avaliação de Capacidade: Análise detalhada de novos clientes para ajustar a infraestrutura conforme a demanda.
• Monitoramento Contínuo: Ferramentas como o Zabbix são usadas para monitorar a performance em tempo real.
• Gestão de Capacidade: Previsão de demanda com base em análises históricas e relatórios periódicos para planejamento de upgrades.

Sim, a Senior Sistemas aplica patches de segurança de forma regular e estruturada.

O processo de aplicação de patches envolve:

• Patching Mensal: Patches são aplicados mensalmente para corrigir vulnerabilidades.
• Teste Prévio: Os patches são testados em ambientes controlados para evitar problemas na produção.
• Gestão do Ciclo de Patching: Inclui o planejamento, teste e implementação dos patches, garantindo um processo seguro e eficiente.

Sim, a Senior Sistemas possui um processo completo de Gestão de Incidentes em ambientes Cloud SaaS.

O processo envolve:

• Classificação do Incidente: Incidentes são classificados por gravidade e impacto no ambiente.
• Análise do Incidente: Diagnóstico para identificar a causa raiz e o impacto do incidente.
• Tratamento do Incidente: Ações imediatas são tomadas para mitigar o impacto e solucionar o problema.

Sim, a Senior Sistemas possui este documento, que é essencial para implementar as melhores práticas de segurança da informação. Ele define responsabilidades, direitos, deveres, penalidades, e promove uma cultura de segurança e privacidade das informações da empresa, clientes, fornecedores e parceiros.

Sim, a Senior Sistemas é certificada ISO 27001. O certificado pode ser consultado no seguinte link: Certificado ISO 27001.

Sim, as operações de Cloud SaaS aderem aos processos certificados pela ISO 27001, incluindo a Gestão de Identidade, Gestão de Backup, Gestão de Mudanças e outros mencionados nesta FAQ.

Sim, a operação de Cloud possui uma equipe de segurança da informação e cibernética dedicada, responsável pelas operações de SIEM, XDR, correções de vulnerabilidades, testes de restore, DR, entre outras ações de segurança.

Sim, a política de senhas está implementada e segue as seguintes regras:

• Letras, números e caracteres especiais.
• Mínimo de 12 caracteres.
• Não é permitido repetir as últimas 24 senhas.
• Após cinco tentativas de login incorretas, a conta é bloqueada.
• MFA (autenticação multifator) é obrigatório para efetivação do acesso.

Sim, todas as camadas de acesso utilizam certificados HTTPS com TLS 1.2 e exigem usuário, senha e autenticação multifator (MFA).

Sim, todos os acessos à infraestrutura pelos times de operação são feitos através de um bastion host hardenizado, utilizando as melhores práticas de segurança baseadas no framework CIS Controls.

As regras aplicadas são as mesmas da operação da Senior Sistemas em Cloud SaaS:

• Letras, números e caracteres especiais.
• Mínimo de 12 caracteres.
• Não é permitido repetir as últimas 24 senhas.
• Após cinco tentativas de login incorretas, a conta é bloqueada.
• O MFA é opcional, podendo ser habilitado pelos clientes, caso desejem.

A camada de acesso aos clientes é protegida por um firewall de borda de nova geração com filtros de antivírus, IPS/IDS e web filtering. Além disso, há um WAF (Web Application Firewall) para proteger as aplicações na camada 7.

Sim, a Senior Sistemas implementou XDR (Extended Detection and Response) em todos os endpoints dos ambientes Cloud SaaS. Essa solução oferece visibilidade abrangente e permite ações imediatas contra atividades maliciosas, como a execução de scripts não autorizados, tentativas de movimentação lateral, e outras ações suspeitas. O XDR também integra dados de diversos pontos de controle (endpoints, servidores, rede) para garantir respostas rápidas e precisas a possíveis ameaças.

Sim, todos os ambientes em Cloud da Senior Sistemas são monitorados por um sistema SIEM (Security Information and Event Management). O SIEM não apenas centraliza e correlaciona os logs de segurança, mas também realiza a gestão contínua de vulnerabilidades. Junto com o XDR, ele forma uma defesa robusta, permitindo a detecção e resposta eficaz a possíveis ataques, sejam eles externos ou internos. Esse monitoramento constante fortalece ainda mais a segurança da infraestrutura, prevenindo proativamente ameaças antes que causem impactos significativos.

Sim, aplicamos a criptografia TDE AES-256 (Transparent Data Encryption) por padrão. O TDE criptografa os dados armazenados de forma transparente, sem exigir modificações nas aplicações existentes. Seu principal objetivo é proteger informações confidenciais contra acessos não autorizados, especialmente em casos de comprometimento do banco de dados ou de seus arquivos de backup. Essa solução garante que, mesmo que os dados sejam obtidos de maneira indevida, eles permaneçam inacessíveis sem as chaves de criptografia corretas.

Sim, a organização implementa políticas de segurança que restringem o acesso a portas de rede, protocolos e serviços apenas a dispositivos autorizados e conhecidos. Esse controle é feito por meio de soluções de firewall e monitoramento contínuo, que garantem que apenas dispositivos autenticados e confiáveis possam acessar a rede.

Sim, a Senior Sistemas isola redes confiáveis de redes não confiáveis usando firewalls e outras tecnologias de proteção de perímetro. Além disso, é aplicada uma segmentação de rede, e as camadas de aplicação e banco de dados são separadas para garantir maior segurança.

Sim, os firewalls são configurados de acordo com as melhores práticas de segurança, garantindo que eles não possam ser contornados ou evitados por atacantes. Eles fazem parte de uma arquitetura de segurança multicamadas, com monitoramento constante e aplicação de políticas rigorosas.

Sim, os firewalls são implementados com redundância para garantir alta disponibilidade e evitar pontos únicos de falha. Isso assegura a continuidade do serviço mesmo em caso de falhas em um dos dispositivos de firewall.

Sim, a Senior Sistemas utiliza sistemas de detecção e prevenção de intrusão (IDS/IPS) para monitorar e identificar atividades maliciosas na rede. IDS/IPS implementados a nível de firewall para análise do tráfego.

Sim, a organização implementa soluções seguras de VPN para acesso remoto à rede local. Esse acesso é restrito a usuários autorizados e inclui autenticação multifator (MFA) para garantir a segurança do acesso.

Sim, para a gestão, segurança e governança da Senior Sistemas, os operadores do ambiente Cloud SaaS que estejam fora da matriz só conseguem acessar o ambiente após estabelecer conexão via VPN com a Matriz. Esta conexão exige usuário, senha e MFA, e a conexão é monitorada. Apenas após essa etapa é possível gerenciar os ambientes Cloud.

Sim, além das credenciais tradicionais, a Senior Sistemas utiliza MFA (autenticação multifator) para reforçar a segurança tanto no acesso à VPN quanto ao ambiente em nuvem. Isso garante uma camada adicional de proteção contra acessos não autorizados.

Sim, são realizados testes de invasão externos (pentests) semestrais nas soluções SaaS da Senior Sistemas. Esses testes são essenciais para garantir que a infraestrutura, as aplicações e o ambiente em nuvem estejam protegidos contra vulnerabilidades.

No ambiente interno, não realizamos testes de invasão formais. Em vez disso, utilizamos o monitoramento contínuo por meio do nosso SIEM, combinado com uma gestão ativa de vulnerabilidades, garantindo que os riscos internos sejam constantemente tratados.

Sim, os testes de invasão são realizados a cada seis meses por empresas independentes e especializadas em segurança da informação, garantindo uma avaliação imparcial e abrangente.

Sim, os testes de invasão são realizados semestralmente. A cada seis meses, contratamos empresas distintas, renomadas no mercado de segurança da informação, para conduzir os testes de penetração nas soluções SaaS da Senior Sistemas.

Os testes são realizados na modalidade graybox, onde as equipes de teste têm algum conhecimento prévio do sistema, permitindo uma análise mais detalhada de possíveis vulnerabilidades.

Sim, sempre que vulnerabilidades ou riscos são identificados, a equipe de segurança da informação responsável pelo ambiente elabora um plano de ação detalhado para mitigar essas falhas, garantindo a segurança contínua do sistema.