top of page
Cyber Consulting

Consultoria em Segurança da Informação

Agende uma apresentação

Elevação de Segurança

Objetivo:

Elevar rapidamente a maturidade de Segurança da Informação, reduzindo exposição a riscos e aumentando resiliência, com base em frameworks reconhecidos (ISO 27001/27002, NIST, CIS Controls e SOC 2) e uma arquitetura de Defesa em Profundidade.

O que fazemos:

  • Assessment de Segurança:

    • Diagnóstico de maturidade (pessoas, processos, tecnologia).

    • Mapa de riscos, ativos críticos e terceiros.

    • Gaps de controles, evidências e plano de ação.

  • ISO 27001/27002:

    • Escopo e desenho do SGSI (Sistema de Gestão de Segurança da Informação, com o desenvolvimento da governança, políticas e processos.

    • SoA e plano de implementação por risco.

    • Controles implantados com evidências prontas para auditoria.

  • NIST:

    • Plano por funções (Governar, Identificar, Proteger, Detectar, Responder e Recuperar).

    • Controles priorizados por criticidade e ambiente.

    • Métricas e rotinas de governança para sustentação.

  • CIS Controls:

    • Avaliação por controles, salvaguardas e nível de implementação.

    • Quick wins e execução incremental com ganhos mensuráveis.

    • Responsáveis, métricas e auditorabilidade.

  • SOC 2 Readiness:

    • Gap analysis por Trust Services Criteria.

    • Controles operacionais e repositório de evidências.

    • Preparação para auditoria e período de observação.

  • Defesa em Profundidade:

    • Arquitetura por camadas.

    • Especificação para ferramentas de cada camada.

    • Elaboração das Políticas, Processos e Controles.

Preparação para certificações

Objetivo:

Preparar a empresa para conquistar ISO/IEC 27001 e/ou SOC 2 com o mínimo de retrabalho, estruturando governança, controles e evidências auditáveis, garantindo prontidão para auditoria externa e sustentação do programa no dia a dia.

O que fazemos:

  • ISO/IEC 27001 (Readiness + Implementação):

    • Definição de escopo, contexto, partes interessadas e objetivos do SGSI.

    • SoA (declaração de aplicabilidade) e plano de tratamento de riscos.

    • Políticas, normas e processos essenciais com papéis e responsabilidades.

    • Biblioteca de evidências e preparação para auditoria (interna e apoio na auditoria externa).

  • SOC 2 (Readiness + Evidências):

    • Diagnóstico por Trust Services Criteria (Segurança e critérios adicionais, se aplicável).

    • Desenho e operacionalização de controles (políticas, procedimentos, rotinas).

    • Repositório de evidências, testes de controle e apoio ao período de observação.

    • Preparação de “audit pack” e alinhamento com auditor independente.

  • ISO 27001 + SOC 2 (Simultâneo):

    • Mapa de convergência: controles comuns + requisitos específicos de cada norma.

    • Um único modelo de governança, risco e evidências para atender ambos.

    • Roadmap integrado (quick wins + trilha de maturidade) e redução de custos/duplicidade.

    • Gestão de projeto ponta a ponta: cronograma, responsáveis, checkpoints e readiness final.

Gestão de Riscos

Objetivo:

Implantar e operacionalizar um processo contínuo de Gestão de Riscos Cibernéticos e de Segurança da Informação, integrando negócio e tecnologia para identificar, avaliar, tratar e monitorar riscos, com critérios claros, evidências e governança, alinhado à ISO/IEC 27005 e ao NIST RMF.

 

O que fazemos:

  • Riscos Cibernéticos & SI (Programa):

    • Definição de escopo, ativos, processos críticos e dependências (incluindo terceiros).

    • Critérios de risco: impacto, probabilidade, apetite, tolerância e escalas.

    • Registro de riscos, priorização e plano de tratamento com responsáveis e prazos.

    • KPIs/KRIs, ritos de comitê e acompanhamento recorrente.

  • ISO/IEC 27005 (Método e Operação):

    • Metodologia completa: identificação, análise, avaliação e tratamento de riscos.

    • Vínculo risco → controle → evidência (para auditoria e melhoria contínua).

    • Modelo de aceites, exceções, revisão periódica e lições aprendidas.

    • Integração com SGSI/ISO 27001, quando aplicável.

  • NIST RMF (Governança e Controles):

    • Estrutura RMF: categorizar, selecionar, implementar, avaliar, autorizar e monitorar.

    • Seleção de controles e baseline conforme criticidade e contexto do ambiente.

    • Apoio a pacotes de autorização, aceite e trilhas de evidência (quando exigido).

    • Monitoramento contínuo e gestão de mudanças baseada em risco.

CISO as a Service e GRC

Objetivo:

Oferecer apoio contínuo para sustentar e evoluir o programa de Segurança da Informação, garantindo governança, priorização por risco, execução disciplinada e evidências consistentes, com atuação estratégica e operacional via CISO as a Service e suporte recorrente em GRC (Governança, Riscos e Compliance).

 

O que fazemos:

  • CISO as a Service:

    • Direcionamento executivo: estratégia, roadmap, orçamento e prioridades por risco.

    • Governança: comitês, ritos, reporte para liderança e indicadores (KPIs/KRIs).

    • Supervisão de controles críticos (IAM, logging, vulnerabilidades, incidentes, backups).

    • Apoio a decisões e crises: resposta a incidentes, comunicação e lições aprendidas.

    • Preparação e acompanhamento de auditorias e certificações (ISO 27001, SOC 2).

  • Governança, Riscos e Compliance (Recorrente):

    • Operação do GRC: registro de riscos, aceites, exceções e plano de tratamento.

    • Gestão de políticas, normas e evidências (controle de versão e auditorabilidade).

    • Avaliação de mudanças (projetos e fornecedores) e impacto em riscos e controles.

    • Auditorias internas leves (health checks) e verificação de eficácia de ações.

    • Integração com áreas-chave (TI, Dev, Infra, Jurídico, Compras, RH) para execução.

Auditorias

Objetivo:

Avaliar, com independência e evidências, a eficácia dos controles e a aderência a requisitos de ISO/IEC 27001/27002 e SOC 2, identificando não conformidades, riscos e oportunidades de melhoria, garantindo um plano de ação objetivo para elevar a maturidade antes de auditorias externas.

 

O que fazemos:

  • Auditoria Interna ISO 27001/27002:

    • Planejamento anual e definição de escopo, critérios e amostragem.

    • Entrevistas, testes de controles, revisão documental e validação de evidências.

    • Avaliação de aderência ao SGSI (contexto, liderança, risco, operação, melhoria).

    • Relatório de não conformidades, observações e recomendações priorizadas.

    • Suporte ao plano de ação: responsáveis, prazos e verificação de eficácia.

  • Auditoria Interna SOC 2:

    • Avaliação de desenho e operação de controles por Trust Services Criteria.

    • Testes de controles e checagem de evidências para período de observação.

    • Identificação de gaps de auditorabilidade (rastreabilidade e consistência).

    • Relatório executivo e plano de remediação e preparo do “audit pack”.

    • Re-teste de controles críticos para confirmar correções antes do auditor externo.

bottom of page