A Ormax Tecnologia em Segurança esta sempre a procura dos melhores soluções tecnológicos para segurança da informação, e tem como principal objetivo oferecer as mais avançadas técnicas na busca de falhas de segurança, reportando e apresentando soluções para os problemas encontrados.
Formada por especialistas e atualizados profissionais, a Ormax é uma empresa flexível e apta a desenvolver e programar as medidas corretas para o gerenciamento e segurança da informação em ambientes coorporativos.
Nossas Principais Atividades:
- Análise de Gestão de Segurança;
- Pen Test;
- Investigação Forense;
- Campanhas de Conscientização;
- Implantação de Projetos de Home Office / VPN;
- Segurança em sites e aplicações;
- Hardening;
Acreditamos que a imagem e os resultados da nossa empresa são frutos dos nossos Valores:
- Integridade – Tratar clientes, colaboradores e parceiros com honestidade, respeito e transparência.
- Ética – Primamos pela moral e respeito na conduta dos negócios.
- Responsabilidade – Compromisso coma as atividades internas, clientes e parceiros.
- Colaboração – Disponibilidade na contribuição para o trabalho em equipe.
- Excelência – Alcançar a qualidade com dedicação, profissionalismo e melhoria continua.
Objetivo
Oferecer nossos recursos e serviços com o objetivo de auditar as política de segurança da informação e fazer testes de invasão sobre a estrutura da empresa, utilizando as melhores práticas do mercado, afim de identificar pontos de melhorias e garantir maior nível de proteção para os dados da empresa.
O projeto será dividido em 2 (duas) fases, que são descritas abaixo:
1. Reconhecimento do ambiente sob ótica de Segurança da Informação
Consiste em realizar um estudo das políticas, normas relacionadas à Segurança da Informação, como políticas de segurança da informação, senhas, utilização de recursos computacionais (acesso à internet, uso de pendrive, NDA para prestadores de serviço) e backup (procedimento de restore, plano de disaster recovery, testes de contigência).
Também serão levantadas as questões tecnológicas, como levantamento dos servidores e serviços (versões de sistemas operacionais, serviços e sistemas, ERP, service pack) e mapeamento dos links da Matriz e filial (velocidade, uptime).
Esta fase visa apresentar uma visão externa da segurança da informação da empresa, para que posteriormente sejam aplicadas melhorias visando o aumento do nível de segurança, diminuindo assim o risco aos negócios.
2. Avaliação de vulnerabilidades
Esta função esta focando somente em avaliação de vulnerabilidades sem tentativas de intrusão para escanear a rede ou IPs fornecidos e descobrir pontos vulneraveis com a finalidade de indicar estes pontos e como resolver a vulnerabilidade.
3. Teste de Invasão (PenTest)
Aplicamos dois tipos de testes de invasão: Caixa Preta e Caixa Cinza. No caso de Caixa Cinza, a equipe será munida de informações relevantes, como nome de servidores, para reduzir e tornar o trabalho mais objetivo. No caso de caixa preta não teremos nenhuma informação prévia.
Nesta fase serão aplicadas técnicas de reconhecimento de ambiente, escaneamento e invasão sem causar indisponibilidade ou danos no ambiente. Buscaremos vulnerabilidades reais que possam realmente ser exploradas e como consequência violar a confidencialidade dos dados, integridade e disponibilidade das informações, que por fim podem representar perda financeira.
Os ambientes listados abaixo serão analisados seguindo as melhores práticas do mercado:
Servidores de Email
Servidores de arquivos
AD
Link (VPN)
Estações de trabalho
É recomendável que além do PenTest sobre o ambiente tecnológico, também sejam aplicados testes de violação de segurança com técnicas de Engenharia Social, onde nossa equipe preparará cenários específicos para um grupo chave de usuários, onde sem seu conhecimento, serão induzidos a fornecer informações privilegiada ou sensíveis, podendo inconscientemente fornecer subsídios para uma invasão. O objetivo deste trabalho não é apontar culpados, mas sim, preparar material para trabalho de conscientização através de palestras ou evento similar.
Após o termino desta fase, será apresentado um relatório com os pontos de atenção, vulnerabilidades encontradas, dicas e sugestões de melhorias.