Consultoria

A Consultoria de Gestão de Pessoas tem foco em projetos de remuneração e de desenvolvimento de pessoas, a fim de adequar e atender as exigências legais e propor soluções que sejam boas para a empresa e para o seus empregados. A Valuconcept oferece consultoria na definição da estratégia, estrutura, desenho e suporte a execução de um programa efetivo de remuneração, que permita atrair e reter os principais talentos da empresa. Diagnóstico e Desenho Funcional Identificação e análise detalhada dos cargos/funções da organização com ênfase na relação competências versus processos, culminando em um conjunto de recomendações para a empresa. Estas recomendações podem incluir o aproveitamento de colaboradores em outras funções e a redução do quadro funcional, mediante identificação e eliminação de focos de ineficácia e ineficiência e identificação de oportunidades de terceirização. Na fase de diagnóstico pode ser implantada Pesquisa de Clima Organizacional, que visa identificar as principais características de cultura e clima percebidos pelos empregados, bem como as principais deficiências da empresa em relação à condição de trabalho, qualidade de vida, relacionamento interpessoal, estilo de chefia, benefícios, comunicação interna, dentre outras, as quais serão analisadas e para elaboração de plano de ação corretivo. A Valuconcept pode atuar também no monitoramento do clima, com implantação de processo de pesquisas regulares. No redesenho funcional é feita a aplicação das recomendações de mudanças funcionais identificadas no diagnóstico, apoiando a empresa na implementação dos ajustes a partir da documentação dos perfis de cada função alinhados a um novo modelo organizacional, novo organograma e a uma nova estrutura de processos e dimensionamento do quadro de pessoal. Plano de Cargos, Salários e Carreira O plano de cargos e salários é um instrumento utilizado na gestão de pessoas nos processos de contratação, promoção vertical e horizontal e retenção de talentos, além de prevenir riscos trabalhistas. São definidas as principais atribuições, responsabilidades e perfil de cada cargo na empresa, criação de uma hierarquização adequada e racionalização na estrutura de cargos, implementação de grade salarial e plano de carreira. São feitos também estudos específicos para custos de enquadramento dos empregados na tabela salarial, simulação de custos com o novo encarreiramento, bem como análises de passivos e riscos trabalhistas com a situação atual encontrada na empresa. Avaliação de Desempenho – Meritocracia A avaliação de desempenho é uma ferramenta para monitorar o desempenho dos empregados e servir de subsídios para promoções, pagamento de remuneração variável, plano de treinamento e feedbacks para melhoria do desempenho dos empregados. Programa de Participação nos Lucros ou Resultados Elaboração e suporte na implantação do Programa de Participação nos Lucros ou Resultados, amparado pela legislação vigente, lei 10.101/2000, e principais práticas de mercado, a ser distribuído aos empregados mediante o alcance de metas, índices de produtividade, qualidade ou lucratividade. Possibilita a empresa aproveitar os benefícios da redução de encargos trabalhistas e sociais desta modalidade, além de ser uma ótima ferramenta gerencial para estimular o comprometimento dos funcionários com os resultados da empresa. Serviços de gestão de pessoas são indicados para empresas que pretendem estruturar ou readequar suas políticas de RH de forma a otimizar a sua estrutura de pessoal, canalizar os esforços do pessoal para o atingimento das estratégias da empresa e reconhecer moralmente e financeiramente a participação de cada um dentro do processo.

A Consultoria de Processos de Negócios tem foco principal na busca da eficiência por meio de processos bem estabelecidos e soluções da área de TI. A Valuconcept oferece consultoria de Diagnóstico de Processos, Redesenho de Processos, Diagnóstico de Tecnologia, Seleção de Sistemas, Implantação de Sistemas, dentre outros. Diagnóstico e Redesenho de Processos O Diagnóstico de Processos consiste na identificação, estruturação e análise detalhada de processo, que culmina em um conjunto de recomendações para cada processo com foco em eficácia e eficiência. O Redesenho de Processos consiste na aplicação das recomendações para cada processo identificadas pelo Diagnóstico de Processos, a partir da reestruturação e documentação dos processos, visando melhorias efetivas. Diagnóstico de Tecnologia Identificação e análise detalhada de todos os recursos de tecnologia da informação disponíveis e de como estes recursos estão atendendo aos processos. A partir dessa análise são apresentadas uma série de recomendações para melhor aproveitamento dos recursos, que podem incluir a reimplantação de algum recurso que tenha sido implantado de forma inadequada ou incompleta, a substituição de um recurso ou ainda a implantação de uma solução complementar. Seleção de Sistemas Compreende a seleção de sistemas ERP (Enterprise Resource Planning), CRM (Customer Relationship Management), BI (Business Intelligence) ou outras soluções específicas, de acordo com processos e necessidades da empresa. Os aspectos negociais envolvidos na contratação de projetos desta natureza estão incluídos nessa solução, de forma que a ValuConcept atua entre os fornecedores e clientes, garantindo a correta especificação das necessidades, condições comerciais adequadas e cumprimento das condições contratuais. Implantação de Sistemas Gestão do projeto de implantação de sistemas abrangendo escopo, tempo, comunicação, qualidade e custos de implantação, visando o cumprimento por parte da provedora da solução de todos os compromissos assumidos. Inclui a homologação das funcionalidades implantadas em conjunto com cada área e com a responsável pela implantação da solução. Serviços de processos e TI são indicados para empresas que apresentam ineficiência nas rotinas e controles internos por falta de adequação de um sistema ERP, que geram retrabalhos, falta de integridade nas informações geradas, falhas nas parametrizações e integrações, necessidade de controles paralelos, falta de conhecimento do pessoal em relação ao uso das ferramentas, dentre outros problemas.

Como diferencial estratégico para a realização do planejamento, são efetivadas análises em todos os itens do patrimônio familiar, desde as escrituras imobiliárias até o estudo criterioso das participações societárias e balanços patrimoniais das pessoas jurídicas envolvidas; momento em que a nossa experiência em consultoria societária e tributária podem representar, inclusive, uma significativa economia tributária. Além dos benefícios inerentes ao planejamento sucessório e às garantias legais de perpetuidade do patrimônio familiar para os herdeiros e sucessores, também se torna possível a preparação de estruturas de proteção patrimonial. O planejamento sucessório, com a amplitude das áreas tratadas pela Valuconcept, garante um diferencial financeiro significativo quando comparado aos custos e tributação incidentes em um inventário. Os serviços também compreendem a constituição de holdings familiares, visando a composição dos interesses através dos mais diversos atos societários e contratos. Ainda, atuamos na definição estratégica e legal para a transição do patrimônio do titular da sociedade para os seus herdeiros, com o máximo de economia tributária; na elaboração e análise de testamentos e codicilos, bem como na atuação judicial e extrajudicial para a conclusão de arrolamentos, inventários e partilhas.

Plano de Negócios e Análise de Viabilidade Elaboração do Plano de Negócios e Análise de Viabilidade de uma empresa ou negócio, geralmente startup, e de seus produtos e serviços a fim de demonstrar às partes interessadas todos os detalhes relevantes no negócio de forma exata, contemplando detalhes sobre o setor, estrutura da empresa, operação e projeções financeiras, bem como mensurar os fatores e riscos envolvidos no lançamento de novos produtos e abertura de filiais. Possibilita ao leitor/interessado identificar o mercado de atuação da organização, suas possibilidades de expansão e suas peculiaridades, de forma que pode ser instrumento de apresentação a investidores, compradores e investidores institucionais.

As Soluções Personalizadas visam prover serviços especializados de acordo com a necessidade identificada, colocando assim todo o conhecimento acumulado pelas equipes de consultoria à disposição do cliente. A Valuconcept oferece diversos tipos de soluções personalizadas, dentre as quais: Coaching Técnico para Gestores Aconselhamento de alto nível voltado para altos executivos, podendo contemplar assuntos organizacionais, comerciais, financeiros, contábeis e tributários, baseados em análises técnicas dos dados disponíveis ou mesmo na formulação de novas estruturas de informação gerencial. A estrutura desse aconselhamento pode ser desenhada de acordo com as necessidades de cada executivo de modo que os assuntos contemplados possam ser incorporados mediante demanda. Conselheiro Independente Participação como membro do conselho de administração ou fiscal, formal ou informal, de empresas, com o objetivo de aportar know how e aconselhar sobre as decisões estratégicas a serem implementadas pelos executivos. Controle Patrimonial Organização e padronização dos procedimentos de controle do imobilizado visando adequação a legislação contábil vigente e evitar fraudes. Na etapa inicial, é realizado o inventário físico e emplaquetamento dos bens, que tem por objetivo a verificação da existência física dos ativos e condições de uso. Depois são implantadas normas e procedimentos que contemplam a utilização de termos de responsabilidade e a realização de conciliação físico contábil dos ativos. Estes serviços são indicados para adequação da legislação contábil vigente, evitar fraudes, permitir a execução de inventários periódicos, padronização da descrição e codificação dos ativos num sistema de controle patrimonial, controle da depreciação por centro de custos e baixa de ativos obsoletos e fora de uso. Gestão de Aquisições e Gerenciamento de Projetos Compreende serviços ligados à aquisição de alguma solução, seja de TI, engenharia ou contratação de um projeto, onde a ValuConcept realiza desde a seleção e qualificação de fornecedores, avaliação da melhor solução de acordo com os processos e necessidades da empresa, participação dos aspectos negociais de escopo, prazo e custo, garantindo a correta especificação das necessidades, condições comerciais adequadas e cumprimento das condições contratuais. São utilizadas ferramentas conforme a necessidade da empresa RFI (Request for Information), RFP/RFQ (Request for Proposal/Quotation) e de gerenciamento de projetos para análise quantitativa, qualitativa e reports.

Com o objetivo de ajudar a organização a atingir seus objetivos e gerenciar seus riscos, a auditoria interna é responsável por avaliar os procedimentos, políticas e controles internos de maneira sistemática e independente. A área de Risk Advisory da Valuconcept pode ajudar as organizações a planejar e executar trabalhos de auditorias internas em toda a organização ou em processos específicos, além de poder assessorar a gestão na implantação de comitês de auditoria interna e no desenvolvimento de suas áreas de auditorias internas. Nossos trabalhos de auditoria interna são baseados nos princípios de governança e normas brasileiras e internacionais de auditoria interna, além dos regulamentos aplicáveis para a execução de auditorias em cada tipo de organização.

O risco de fraude ainda é tabu na maioria das organizações, contudo, é um risco existente e que os gestores precisam estar atentos. Com metodologias específicas de prevenção e detecção de fraudes, a Valuconcept vem auxiliando seus clientes de maneira eficaz e discreta, sem deixar de lado o aspecto humano ao tratar de um assunto que requer cuidado especial com as pessoas dentro da empresa.

Estar em Compliance significa estar em conformidade com os regulamentos internos e externos aos quais as organizações estão sujeitas. A falta de cumprimento de leis e regulamentos específicos pode acarretar à organização sanções e perdas financeiras ou de reputação. Atualmente, a Valuconcept conta com uma equipe multidisciplinar especializada em Compliance nas organizações, oferecendo serviços de adequação e monitoramento da conformidade das empresas com as principais leis e regulamentos. Leia e entenda mais sobre algumas importantes leis que a Valuconcept está preparada para auxiliar no Compliance de sua empresa: • Lei Brasileira Anticorrupção (Lei 12.846) • Lei Americana Sarbanes Oxley (SOX Act of 2002) • Lei Americana Anticorrupção FCPA (Foreign Corrupt Practices Act) • Resolução 3380 Bacen (Riscos Operacionais em Instituições Financeiras)

O Teste de Penetração em Infraestrutura avalia a atual infraestrutura da empresa e permite que a empresa que esteja sendo testada conheça quais são os seus pontos fracos. O teste está focado nos servidores, componentes da rede e sua estrutura, a fim de encontrar alternativas que possam ser utilizadas pelos hackers, usando os métodos e ferramentas de reais hackers. O time de teste faz as recomendações com relação à mitigação dos riscos, permitindo que a empresa endureça com relação aos seus atuais componentes de infraestrutura ou ainda, se necessário, mude sua estrutura.

A integridade de uma empresa é medida pelas suas defesas internas e externas. A organização se coneta à internet utilizando interfaces e ports que podem ser violados, abrindo uma porta aos ataques. Além disso, a empresa pode estar correndo perigo com funcionários mal-intencionados, que desejam causar danos aos components internos. O teste de rede é dividido em duas avaliações: Interna - A equipe de avaliação recebe uma porta de acesso ou um computador da empresa e avalia a segurança com base em ataques realizados à empresa. A avaliação permite que a empresa avalie sua proteção interna contra funcionários mal-intencionados e descontentes. Externa - A equipe de avaliação testa o ambiente externo da organização para portas e interfaces abertas e simula um ataque real de entidades maliciosas

“Simulações de ataque" podem ser feitas tanto para aplicativos quanto para servidores ou dispositivos de rede. Uma equipe de hackers não se limitará a apenas um nível, mas fará o melhor que puder para invadir um sistema. Por exemplo, ao atacar um servidor O hacker pesquisará os bancos de dados conhecidos em busca de vulnerabilidades conhecidas e tentará usá-los para atacar o servidor. Ao tentar atacar um aplicativo, abordagens diferentes serão usadas. A penetração de um dispositivo de rede, como roteador ou switch, exige uma conexão específica e um conjunto de habilidades. A VBR CyberTeam combina as habilidades e proficiência para realizar todos esses testes, como em situações do "mundo real"

Com a abordagem do “White Box” / “Caixa Branca”, a equipe de teste recebe todas as informações necessárias para avaliar melhor a segurança do ambiente testado, incluindo código-fonte, arquivos de configuração, documentação, diagramas etc. Isso permite uma revisão completa do sistema, identificando não somente vulnerabilidades imediatas, mas também seções e configurações de código potencialmente perigosas, backdoors e falhas de arquitetura. Ao fornecer o teste mais completo, o teste da caixa branca pode exigir mais recursos tanto do lado do testador quanto do lado do cliente, fornecendo as informações relevantes. Este tipo de abordagem é, portanto, mais adequado para ambientes altamente sensíveis. Prós: Extremamente minucioso. Recomendações de remediação muito precisas. Permite a detecção de ameaças não imediatas, bem como falhas de arquitetura e configuração. Contras: Requer quantidades substanciais de recursos do testador e do cliente. Não simula um cenário de ataque real (pode ser descartado pela organização Testes realizados nesta Metodologia: Revisão de código do aplicativo (recomendado em conjunto com um teste de penetração de aplicativos Revisão de Design e Arquitetura Auditorias de configuração do servidor Auditorias de Rede

Com a abordagem de Black Box, a equipe de testes simula o método de operação de um hacker real. O testador recebe apenas as informações disponíveis publicamente e tenta identificar brechas de segurança que possam comprometer informações confidenciais ou operações no sistema. Quando aplicada corretamente, essa abordagem pode simular não apenas hackers aleatórios, mas também hackers dedicados que obtêm algum acesso inicial ao sistema, uma vez que esteja disponível ao público. Como esta abordagem melhor imita o que um verdadeiro hacker faria, ela se destaca em fornecer ao cliente uma avaliação realista do nível de risco imediato ao qual o sistema está exposto. Qualquer descoberta identificada em tal teste de caixa preta provavelmente também será identificável por um invasor. Prós: Fornece estimativa realista de ameaças Passa a mensagem (se pudemos fazer isso, outros também podem) Requer esforços mínimos do cliente. Contras: Pode exigir esforço de gastos na coleta de informações Pode perder backdoors ou vulnerabilidades parciais Recomendações de remediação só podem ser gerais Testes realizados nesta Metodologia: Teste de penetração de aplicativos Teste de penetração de Infraestrutura / Rede Simulação de Ataque Completo

A abordagem da Grey Box é uma alternativa intermediária entre a Black Box e White Box. Os testes de Grey Box são executados usando métodos semelhantes aos do teste de Black Box, simulando assim ataques do mundo real. No entanto, ao contrário dos testes de Black Box, o invasor recebe informações técnicas substanciais sobre o sistema e pode solicitar que informações adicionais sejam usadas para identificar informações adicionais com comentários breves e pontuais da caixa branca. Essa abordagem é uma maneira econômica de identificar o máximo possível de ameaças do mundo real no menor tempo disponível, tornando-a a maneira mais econômica de realizar avaliações de segurança, quando os valores mais absolutos de caixa preta e caixa branca não são necessários. Prós: Maior custo-benefício Fornece estimativa realista de ameaças Contras: Não simula como um cenário de ataque da vida real como um teste de caixa preta (não pode ser levado tão a sério pela organização e, portanto, é recomendado somente quando a segurança já estiver compreendida) Testes realizados nesta Metodologia: Teste de penetração de aplicativos (com revisão parcial de código) Infraestrutura e teste de penetração de rede (com revisão da rede e configuração do servidor) Design de alto nível e revisão de arquitetura

Embora seja difícil acreditar que o smartphone tenha menos de 10 anos, eles se tornaram parte integrante de nossas vidas e negócios diários. Com o crescente uso dos smartphones, os vírus aumentaram drasticamente, com vários milhões de malwares ativos projetados especialmente para eles, projetados para roubar seus contatos e causar danos intencionais aos servidores da organização. Durante o teste do seu dispositivo móvel, testamos o seu aplicativo, a sua tendência a ser hackeado e a maneira maliciosa que pode ser utilizada para isto.

A melhor maneira de evitar um ataque é se preparar e tomar medidas para preveni-lo antes mesmo de acontecer. No mundo virtual atual, as chances são de que sua organização seja atacada por entidades maliciosas. Uma abordagem proativa permite que você identifique essas entidades, descubra quais são os seus métodos de ataque e mitigue suas vulnerabilidades inerentes. Então, quando o ataque chegar, você estará pronto para ele. O primeiro passo é realizar uma avaliação cibernética, que lida com as ameaças e atores permanentes que visam atacar sua organização. Em nossa experiência, os invasores hoje não têm necessariamente um objetivo específico em mente quando iniciam um ataque, o que significa que os ataques podem ser persistentes e consistentes. Para realizar uma avaliação cibernética, a equipe, primeiro mapeia as melhores práticas recomendadas da organização usando nossa metodologia comprovada e identifica as ameaças existentes na organização. Além disso, recomendamos que a organização use relatórios de inteligência de ameaças que ajudem a identificar as atividades atuais e os agentes de ameaça que representam um risco para a organização, com base no OSint, WEBint, CYGint & HUMint. Esse serviço não apenas fornece feeds e alertas de notícias, mas também fornece uma situação concreta sobre sua organização e fornece recomendações.

No mundo da guerra cibernética, muitas organizações sabem que serão atacadas, mas não quais serão os ativos visados. Na avaliação cibernética, pretendemos identificar esses alvos em potencial, encontrar suas várias fraquezas e vulnerabilidades e recomendar como mitigá-los, permitindo uma melhor proteção contra um ataque. A avaliação da segurança cibernética é composta pelas seguintes etapas: • identificar sistemas críticos propensos a ataques cibernéticos • Identificar funções críticas de negócios afetadas por ataques cibernéticos • Mapeamento de atores de ameaças relevantes que se apresentam como uma ameaça ao cliente • Identificar as principais iniciativas para melhorar a segurança. A avaliação utiliza práticas de liderança global apoiada pelos padrões NIST

A visão da VBR CyberTeam sobre a Inteligência de Ameaças Cibernéticas difere de muitos provedores, à medida que tem foco no risco considerando o contexto de cada organização como única. Um programa bem-sucedido de inteligência contra ameaças precisa responder ao seguinte: • Quem é provável que ataque? • Que tipo de ataque eles irão iniciar? • Quando o ataque ocorrerá? A competência da inteligência de ameaças integrada começa com um entendimento dos riscos e tolerâncias de negócios, o cenário exclusivo de ameaças e os recursos de cada organização para detectar, reagir, complicar e responder às condições de ameaça. A inteligência de ameaças cibernéticas não é um feed de informações comum, que pode ser derivado de qualquer lugar, mas concentra-se nas informações necessárias, com base na lógica e nos fluxos de negócios da organização e na compreensão das vulnerabilidades existentes.

Segundo as pesquisas, uma hora utilizado no conserto de um código durante o estágio de desenvolvimento é igual a 500-1.000 horas de trabalho em uma plataforma de aplicativos. O objetivo do SDLC (Security Development Life Cycle) é eliminar os problemas em estágios posteriores do desenvolvimento, a fim de economizar horas e não causar atrasos na liberação. A metodologia SDLC implementada hoje em dia em quase todos os novos projetos inclui um capítulo que descreve como fazer um design seguro para um sistema. A experiência do consultor da VBR Cyber em tais projetos, traz o ROSI (Return of Security Investment) para muitos de nossos clientes implementando SDLC e Secure Design em seus departamentos de Pesquisa e Desenvolvimento e como uma política da empresa.

A avaliação de Duração do “Distributed Denial of Service” (DDoS) testa a capacidade da organização em lidar com um ataque DoS que é executado simultaneamente a partir de vários milhões de botnets. Ataque DDoS visa bater o site e esgotando seus recursos, causar danos financeiros e à reputação. A equipe de avaliação identifica e mapeia a infraestrutura da organização e grava vários cenários de DDoS com base em suas descobertas. Depois, cada cenário é executado e é verificado se o o sistema trava.

Um incidente ocorreu na sua empresa. Pode estar relacionado a um dos funcionários (interno) ou a um ataque externo. A investigação forense é uma tarefa que requer conhecimento especializado, procedimentos, ferramentas e um ambiente de laboratório bem equipado. A investigação adequada e a coleta de evidências focadas em processos forenses são uma necessidade absoluta. Essa abordagem garante que o processo forense possa resistir ao escrutínio de assessoria jurídica oposta, se necessário. Fornecemos aos nossos clientes serviços que incluem recuperação, preservação e reprodução de dados encontrados em dispositivos digitais. Esses dispositivos podem incluir computadores, telefones celulares, discos rígidos e rede.

O crime cibernético está em toda parte e as estatísticas mostram seu crescimento. O Centro de Estudos Estratégicos e Internacionais relata que quase todas as empresas da Fortune 500 foram hackeadas nos últimos anos.

A análise forense digital é um ramo da ciência forense que combina elementos legais e dispositivos digitais. Quer a sua empresa seja ou tenha sido alvo de um ataque, a análise forense digital pode ajudá-lo a responder às seguintes perguntas: • Quando o incidente ocorreu? • Quem realizou o incidente? • Que informação foi divulgada?

É importante estar preparado para lidar com incidentes de segurança da informação antes que eles ocorram. Uma resposta bem executada pode revelar a verdadeira extensão de um comprometimento e pode ajudar a prevenir futuros problemas. Em vez de depender do acaso, as empresas devem procurar incidentes que atualmente ocorram e ainda não foram detectados. Dessa forma, as empresas podem atenuar os fatos e não apenas as possibilidades descobertas durante as avaliações de segurança. Realizamos serviços proativos para clientes, incluindo os seguintes, mantendo a confidencialidade estrita do cliente: • Perícia Forense Proativo na Web • Perícia Forense Móvel • Perícia Forense na Nuvem • Avaliação de malware • Design de controles de segurança • Desenvolvimento de plano de resposta aos incidentes •Treinamento

O departamento de análise forense da VBR CyberTeam conta com uma equipe de resposta a incidentes com anos de experiência em segurança da informação, análise de malware e investigações forenses. Realizamos investigações em componentes de rede, sistemas operacionais, aplicativos de banco de dados e muito mais. Nós devemos: • Preservar legalmente os dados • Analisar as evidências para determinar o agressor • Fornecer recomendações para os sistemas comprometidos

Um incidente ocorreu na empresa. Pode estar relacionado a um dos funcionários (interno) ou a um ataque externo. A investigação forense é uma tarefa que requer conhecimento especializado, procedimentos, ferramentas e ambiente de laboratório. A investigação adequada e a coleta de evidências focadas em processos forenses são uma necessidade absoluta. Isso garante que o processo forense possa resistir ao escrutínio de uma assesssoria jurídica oposta. Fornecemos aos nossos clientes recuperação, preservação e produção de dados encontrados em dispositivos digitais. Esses dispositivos podem incluir computadores, telefones celulares, HDs e rede. • Investigação forense • Análise de malware e engenharia reversa.

O mundo da segurança da tecnologia da informação envolve muito mais do que apenas testes de penetração. A VBR CyberTeam fornece aos clientes uma abordagem proativa para a segurança das informações e para identificar seu status no mundo cibernético. Podemos ajudá-lo a descobrir as respostas a perguntas como: Qual é a condição da sua organização com base em termos e referências de segurança de TI? Os invasores podem violar suas paredes de defesa e roubar informações valiosas? Se outra organização do seu ramo for invadida, como isso afetará sua organização?

Abordagem holística baseada em anaálises significativas Atualmente, poucas empresas possuem as habilidades e os recursos apropriados internamente para proteger com eficácia seus ativos de informações e, ao mesmo tempo, otimizar o desempenho dos negócios. Organizações em todos os setores podem se beneficiar de uma avaliação objetiva de seus programas e estruturas de segurança da informação. A estrutura de CPM inovadora da VBR CyberTeam baseia-se em uma análise significativa de como a segurança das informações molda e se encaixa na estrutura geral de gerenciamento de riscos de uma organização. Em sua base, há um foco claro nas prioridades estratégicas e nos objetivos de negócios da organização. Uma avaliação de CPM ajuda a: • Compreender o nível de exposição ao risco da sua organização • Avaliar a maturidade do seu atual Programa de Segurança da Informação e identificar áreas para melhoria • Construir um roteiro prioritário para investimentos em projetos e iniciativas de mudança organizacional • Coleta de informações para criar” benchmarks“contra outras organizações • Validar se seus investimentos em segurança melhoraram sua postura de segurança.

Um estudo de 2013 do Ponemon Institute descobriu que o custo médio anualizado de 56 organizações comparadas para risco cibernético era de US $ 8,9 milhões por ano, acima dos US $ 8,4 milhões em 2011. Com um intervalo de US $ 1,4 milhão a surpreendentes US $ 46 milhões por ano. Uma empresa segurada estará coberta para: • Investigar a violação • Restaurar seus sistemas • Lidar com a notificação • Custos de atendimento ao cliente relacionados à violação • Lucros perdidos durante o tempo de inatividade A Apólice de seguro corporativo é destinada a atender: • Danos de primeira parte - cobrindo o custo de análise forense digital e despesas relacionadas aos danos devido à violação de segurança cibernética na rede da empresa. • Danos causados ​​por terceiros - que cobrem as despesas seguradas devido a um incidente relacionado a um cyber em um provedor de serviços terceirizado que hospedou os dados confidenciais de PII do detentor da apólice.

• Avaliação da postura de segurança do segurado (Anualmente) Realização de uma avaliação de maturidade de segurança de TI (CPM estendido). Ajudar a seguradora a avaliar o risco. Fornecer serviços forenses digitais aos segurados que foram violados (de plantão) o Configurar uma equipe dedicada de resposta a incidentes composta de especialistas em conteúdo com alcance global. • Oferecer serviços de avaliação de complexidade cibernética para o setor de seguros (por base de reivindicação) Aumento da cooperação exclusiva da VBR CyberTeam com a Kaspersky Labs. Proporcionar à seguradora a capacidade de explorar a causa raiz e a atribuição (crime cibernético, hacktivismo).

O treinamento que oferecemos na VBR CyberTeam permite que nossos novos contratados entendam, em profundidade, a maneira como os hackers pensam e operam. Esse tipo de educação fornece uma compreensão muito mais rica e profunda de ataques do que simplesmente ensiná-los a usar ferramentas de hackers que podem ser encontradas na Internet. A maior parte do treinamento está diretamente relacionada ao conhecimento e experiência do instrutor responsável adquirido no decorrer do trabalho, em vez de apenas ensinar a lidar com as ferramentas. Os treinadores da VBR CyberTeam são hackers éticos profissionais que passam a maior parte do tempo trabalhando em projetos de testes de penetração do "mundo real" e orientando desenvolvedores em projetos de SDLC. As sessões de treinamento são baseadas em exemplos de "histórias de projetos" e estudos de caso de uso ocorrem diariamente. O treinamento inclui a prática no ambiente exclusivo de testes do Luftgescheft Bank, que simula um aplicativo bancário on-line real e permite que os alunos ponham em prática o material que aprenderam durante o treinamento. Foi Goethe que disse "Saber não é suficiente; devemos aplicar". Com base nesse espírito, o VBR CyberTeam oferece aulas que: estejam atualizadas com os avanços tecnológicos mais recentes treinem as pessoas para pensar como hackers, e não apenas em "outras ferramentas" baseiem o treinamento em 70% de prática usem métodos "street wise" que são comuns no mercado, em vez de falar teoricamente

Introdução à Segurança Este treinamento introdutório de um dia foi projetado para fornecer uma compreensão básica das ameaças de segurança enfrentadas atualmente pelos sistemas de rede. A primeira metade do dia se concentra em aumentar a conscientização sobre segurança, realizando uma demonstração de hackers ao vivo e apresentando incidentes de invasão reais no ano passado. A segunda parte do treinamento fornece uma compreensão básica dos conceitos de segurança, seguida de explicações sobre as ameaças existentes e as falhas de segurança que levam a elas, com ênfase na segurança dos aplicativos. Finalmente, princípios e técnicas de segurança são discutidos para mitigar essas ameaças. Desenvolvimento de Segurança .NET Este curso foi desenvolvido para ajudar os alunos a aprender como criar aplicativos .NET seguros, apresentando-os com o ponto de vista de um invasor em potencial. Ao contrário de outros cursos, neste curso os alunos serão apresentados a demonstrações reais de ataques ao Luftgescheft Bank, que simulam um verdadeiro aplicativo bancário online .NET, proporcionando-lhes uma compreensão de como os hackers operam. Essa abordagem torna mais fácil para os alunos processar e implementar os princípios e técnicas apresentados posteriormente no curso. O treinamento inclui diretrizes gerais para a criação de código seguro no .NET, bem como informações detalhadas sobre os mecanismos de segurança significativos no .NET. Todos os tópicos serão apresentados usando amostras de código vulneráveis ​​do Luftgescheft Bank, seguidas de exemplos alternativos e seguros de código baseados no material aprendido. JAVA O curso irá apresentar diretrizes e considerações de segurança no desenvolvimento de aplicações Java. Os participantes aprenderão as noções básicas de segurança de aplicativos, como aplicar a segurança em um aplicativo J2EE, permitindo mecanismos de segurança J2EE padrão e outros problemas relacionados à segurança. Hacking de aplicativos da Web O Treinamento de Hacking de aplicativos da Web foi projetado para fornecer ao seu público uma compreensão profunda das técnicas de hackeamento de aplicativos e a capacidade de aplicar essas técnicas ao executar testes de segurança em aplicativos da Web. Durante o treinamento, os alunos aprenderão a entender as falhas de programação que levam a vulnerabilidades em nível de aplicativo, bem como técnicas reais de hacking para as vulnerabilidades. O treinamento inclui exercícios práticos no exclusivo Luftgescheft Bank, que simula um aplicativo bancário on-line real e permite que os alunos pratiquem o material aprendido no treinamento. Segurança para o controle de qualidade O treinamento de teste de segurança de aplicativos da Web foi desenvolvido para fornecer ao seu público uma compreensão das técnicas de teste de aplicativos da Web e a capacidade de aplicar essas técnicas como parte do processo de controle de qualidade dos aplicativos da web. Durante o treinamento, os alunos aprenderão a entender as falhas de programação que levam a vulnerabilidades em nível de aplicativo, bem como técnicas reais de teste para as vulnerabilidades. O treinamento inclui exercícios práticos no exclusivo Luftgescheft Bank, que simula um aplicativo bancário on-line real e permite que os alunos pratiquem o material ensinado. Segurança para arquitetos e gerentes de projeto O curso de Segurança para Arquitetos de Sistemas é um curso exclusivo que fornece aos arquitetos de sistemas, gerentes de projetos e analistas de sistemas as ferramentas para incorporar corretamente a segurança ao projeto de sistemas nos estágios iniciais. Na primeira metade do treinamento, os alunos são apresentados ao mundo moderno de segurança, ameaças comuns e conceitos e princípios básicos de segurança para a criação de sistemas seguros. A segunda metade do treinamento se concentra em um laboratório guiado detalhado para criar um design seguro, dando aos alunos a oportunidade de aprender o material colocando a mão na massa.

Em Breve

Em Breve

Questões-Chave TI suporta os negócios adequadamente? Existem riscos à continuidade de negócios? A infraestrutura de TI é adequada? São tomadas medidas para assegurar a segurança da informação? Escopo Organização de TI Governança de TI Infraestrutura Telecomunicações Sistemas Segurança da Informação

Questões-Chave O modelo operacional é eficiente? Existem controles internos adequados que proporcionem uma maior segurança das informações gerenciais e dos processos operacionais? Os recursos de produção e prestação de serviços são adequados? Qual é a qualidade percebida de seus produtos e serviços? Escopo Análise dos Processos de Negócios sob a ótica de controles internos e eficácia organizacional Processos de suporte Processos de produção e prestação de serviços Possíveis sinergias Percepção de qualidade de Produtos e Serviços

Questões-Chave O posicionamento da empresa no mercado é adequado? As políticas comerciais são apropriadas? Como os clientes percebem o negócio? Os preços praticados possuem bases de formação adequadas? Escopo Análise de Inserção no Mercado (atual e futuro) Análise da Política Comercial Análise dos aspectos comerciais dos contratos Relacionamento com clientes Condições de crédito e cobrança Pricing

Questões-Chave Os fornecedores e prestadores de serviço são adequados? As políticas de compras são apropriadas? A relação comercial com fornecedores e prestadores de serviço é coerente com o modelo operacional? Existe dependência de fornecedores e prestadores de serviço, colocando em risco a continuidade do negócio? Escopo Análise de Contratos Fornecedores e Prestadores de Serviços Análise da Política de Compras Análise do Relacionamento Operacional com Fornecedores e Prestadores de Serviços

Questões-Chave As equipes executiva, comercial e operacional são adequadas? Os recursos humanos são dimensionados adequadamente? As políticas de recursos humanos são competitivas? Quais são as características da cultura organizacional existente? Escopo Análise da equipe executiva Análise da equipe comercial Análise da equipe operacional Análise das pessoas sob a ótica funcional (perfis e competências) Análise das Políticas de Recursos Humanos Análise da Cultura Organizacional