Ferramenta de Auto-Avaliação de Riscos de Segurança
Download
Saiba Mais Faça o download de um arquivo .ZIP contendo a ferramenta MSRSAT (Microsoft Security Risk Self-Assessment Tool) (disponível em chinês, inglês, francês, alemão, japonês, português (Brasil), português (Portugal), Espanhol e Sueco) Requisitos: Windows 2000 Professional ou XP Professional e IE 6.0, com o mais recente Service Pack; .NET Framework 1.1. **Note que você deve reiniciar o computador após instalar o .NET Framework. Você pode desejar adicionar esta página aos seus Favoritos antes de reiniciar o computador. |
Faça o download da Ferramenta de Auto-Avaliação de Riscos de Segurança da Microsoft (MSRSAT) e instale-a em seu computador para obter informações e recomendações sobre práticas recomendadas que lhe ajudarão a aumentar a segurança de sua infra-estrutura de TI.
Esta aplicação foi criada para ajudar empresas com menos do que 1000 funcionários a levantar fraquezas em seus ambientes atuais de TI. Ela ajudará a identificar processos, recursos e tecnologias que foram feitos para promover um bom planejamento de sergurança e práticas de redução de riscos em sua organização.
Após você completar a Avaliação de Riscos, nós sugerimos que você contate um Parceiro Microsoft especializado em segurança para obter ajuda ou para uma auditoria de segurança. Você encontrará os parceiros disponíveis no site http://www.microsoft.com/brasil/comprar.
Perfil de Risco de Negócio
Entender como a natureza de seu negócio afeta o risco é importante para se determinar onde aplicar os recursos para minimizar estes riscos. Reconhecer áreas de risco para o negócio ajudará você a otimizar sua verba de segurança.
Defesa Profunda
O conceito de Defesa Profunda (ou "Defense-in-Depth", DiD) refere-se a implementação de camadas de defesa que incluem controles técnicos, organizacionais e operacionais. Esta avaliação é baseada em padrões e práticas aceitas no mercado que ajudam a reduzir o risco em ambientes de TI.
Resultados e Relatórios
Você será capaz de visualizar seus resultados imediatamente após completar a avaliação. Este resultado resumido permitirá ainda que você compare seus pontos com pontos de outros em seu segmento. Você poderá ainda usar a ferramenta para monitorar sua pontuação em Defesa Profunda comparando os resultados com os obtidos no passado.
Além disso, você receberá um relatório completo que descreve a postura de sua empresa em relação à segurança, baseado em suas respostas, e fornecerá práticas recomendadas reconhecidas pela indústria e recomendações para conseguir realizar estas práticas. O Relatório, que pode ser salvo no formato HTML para impressão e envio por e-mail, também fornece vários recursos que ajudarão você a obter um ambiente mais seguro.
Áreas de Análise
Diferentemente do Microsoft Baseline Security Analyzer, que varre e levanta dados sobre os sistemas diretamente, a Ferramenta de Auto-Avaliação de Riscos de Segurança é um questionário detalhado que você deve preencher. A ferramenta irá processar suas respostas e avaliar as práticas de segurança de sua empresa em áreas como Infra-estrutura, Aplicações, Operações e Recursos Humanos.
A tabela abaixo lista as áreas que foram incluídas na avaliação de riscos de segurança:
| Perfil de Riscos de Negócio | Importância para a Segurança |
Perfil de Risco de Negócio | Entender como a natureza de seu negócio afeta o risco é importante para se determinar onde aplicar os recursos para minimizar estes riscos. Reconhecer áreas de risco para o negócio ajudará você a otimizar sua verba de segurança. |
| Infra-estrutura | Importância para a Segurança |
Defesa de Perímetro | A defesa do perímetro endereça a segurança nas bordas da rede, onde sua rede interna se conecta ao mundo exterior. Ela constitui sua primeira linha de defesa contra intrusos. |
Autenticação | Procedimentos rigorosos de autenticação para usuários, administradores e usuários remotos ajudam a prevenir que pessoas de fora obtenham acesso não autorizado a rede através do uso de ataques locais e remotos. |
Gerenciamento & Monitoração | Gerenciamento, monitoração e registro apropriados são críticos para se manter e se analisar ambientes de TI. Estas ferramentas são ainda mais importantes após um ataque ter ocorrido e uma análise do incidente ser necessária. |
Estações de Trabalho | A segurança de estações de trabalho individuais é um fator crítico na defesa de qualquer ambiente, especialmente quando o acesso remoto é permitido. As estações de trabalho devem ser protegidas em um local resistente aos ataques mais comuns. |
| Aplicações | Importância para a Segurança |
Implementação & Uso | Quando aplicativos críticos de negócios são implantados em produção, a segurança e disponibilidade destes aplicativos e servidores deve ser protegida. A manutenção contínua é essencial para ajudar a garantir que bugs de segurança são corrigidos e que novas vulnerabilidades não são introduzidas no ambiente. |
Design de Aplicações | Um design que não implemente mecanismos de segurança apropriados como autenticação, autorização e validação de dados pode permitir que atacantes explorem vulnerabilidades e obtenham acesso a informações críticas. |
Armazenamento e Comunicação de | A integridade e confidencialidade dos dados é uma das maiores preocupações para qualquer negócio. A perda ou roubo de dados pode prejudicar o faturamento de uma empresa bem como sua reputação. É importante entender como as aplicações tratam os dados críticos do negócio e como o dado é protegido. |
| Operações | Importância para a Segurança |
Ambiente | A segurança de uma organização é dependente dos procedimentos, processos e recomendações operacionais que são aplicadas ao ambiente. Eles aumentam a segurança da organização incluindo mais do que tecnologias de defesa. Uma documentação precisa do ambiente e orientações são críticas para a habilidade da equipe em suportar e manter a segurança do ambiente. |
Política de Segurança | A política corporativa se refere às diretivas e orientações individuais que existem para governar a segurança e o uso apropriado da tecnologia e dos processos dentro da empresa. Esta área cobre as políticas que endereçam todos os tipos de segurança, como as de usuários, sistemas e dados. |
Backup & Recuperação | O backup e a recuperação de dados é essencial para se manter a continuidade dos negócios no evento de um desastre de software ou hardware. A falta de procedimentos apropriados de backup e recuperação pode levar a perda significativa de dados e de produtividade. |
Gerenciamento de Patches & Atualizações | O bom gerenciamento dos patches e atualizações é importante para se manter seguro um ambiente de TI. A aplicação correta de patches e atualizações se faz necessária para ajudar a proteger o ambiente contra vulnerabilidades conhecidas e passíveis de exploração. |
| Recursos Humanos | Importância para a Segurança |
Requisitos e Levantamento | Os requisitos de segurança devem ser entendidos por todos os tomadores de decisões para que suas decisões técnicas e/ou de negócios aumentem a segurança e não conflitem com as políticas. Levantamentos regulares feitos por terceiros podem ajudar a empresa a analisar, avaliar e identificar áreas que devem ser melhoradas. |
Políticas e Procedimentos | Procedimentos práticos claros para o gerenciamento de relacionamentos com fornecedores e parceiros podem ajudar a proteger a empresa da exposição ao risco. Os procedimentos que cobrem a contratação e a demissão de funcionários podem ajudar a proteger a empresa de funcionários inescrupulosos. |
Treinamento e Cultura | Os funcionários devem ser treinados e estarem cientes de como a segurança se aplica a suas tarefas diárias para que não exponham inadvertidamente a empresa a grandes riscos. |
