retrospectiva GAT
(Tempo de Leitura: 4 min.)

O ano de 2019 foi quando o GAT oficialmente nasceu como spin off da IBLISS. Mas nossa história começou há mais de 10 anos quando percebemos que a gestão de Segurança da Informação e Conformidade poderia ser melhor.

Tornamos seus processos mais confiáveis com visão clara de SLA’s, métricas, ganho de maturidade e evolução dos programas de segurança com visão integrada e em tempo real. Eliminamos trabalhos manuais e controles em planilhas desconexas trazendo um ganho de eficiência e velocidade nas correções.

Gostaríamos de compartilhar com você um pouco de nossa jornada esse ano e convidar para conhecer melhor a plataforma GAT para estar cada vez mais à frente das ameaças cibernéticas em 2020!

Como nascemos e nossa entrega de valor

Ao entregar um projeto de consultoria em cibersegurança, como uma avaliação de conformidades ou teste de invasão, a IBLISS enxergava o desafio de seus clientes na implementação das ações recomendadas, utilizando planilhas e controles descentralizados.

Isso causava diversos problemas como: morosidade nos processos, perda de rastreabilidade das ações e de integridade das informações. A quantidade e diversidade de ferramentas e fontes de dados para identificação de vulnerabilidades e riscos cibernéticos tornava a resiliência e aumento de maturidade em Segurança um desafio ainda maior. Logo as planilhas tornavam-se obsoletas, não refletindo os riscos de segurança da informação prioritários.

Os gestores de segurança da informação, CSO (Chief Security Officer), e sua equipe gastavam muitos dias na tentativa de consolidar essas fontes de informação em uma visão única que mostrasse a real situação do ambiente.

A fim de buscar uma maneira mais eficiente de gerenciar os projetos de consultoria e os serviços oferecidos nasceu o GAT: plataforma de gestão integrada de segurança da informação e conformidade. GAT é acrônimo para Get Ahead of Threats, ou seja, esteja à frente das ameaças. 

O desenvolvimento teve início em 2013 e GAT contribuiu significativamente para redução do tempo de exposição de vulnerabilidades em alguns clientes na ordem de até 94%. Observou-se ainda que sua utilização apoiou muitos clientes no aumento de produtividade dos times técnicos e na qualidade das entregas. Através da plataforma GAT é possível:

  • ter uma visão completa do programa de Segurança da Informação
  • gerenciar ameaças e manter a rastreabilidade de apontamentos
  • priorizar as correções de acordo com o risco dos ativos para o negócio
  • gerenciar riscos associados à tecnologias, colaboradores, processos e fornecedores
  • eliminar trabalhos manuais e repetitivos suscetíveis a erros humanos utilizando automações e integrações
  • definir workflows com a criação de alertas, atribuições de responsáveis e datas limites para garantir a manutenção de SLAs

Além disso, o GAT conta com a flexibilidade de criação de dashboards com indicadores específicos e customizáveis de forma a  trazer uma visão clara e de rápido entendimento sobre os principais KPIs e SLAs definidos por área ou organização. 

O ano de 2019 foi marcado por um ganho de maturidade e mudança de posicionamento da plataforma GAT. Veja alguns números que refletem o que construímos e um pouco do que planejamos para 2020:

Mais de 850mil apontamentos em 120mil ativos

Apontamentos no GAT podem ser vulnerabilidades ou controles de conformidade (como ISO 27001 ou LGPD, por exemplo). O GAT permite a gestão dos apontamentos de segurança por todo seu ciclo de vida, representando a situação real do ambiente. Através de integrações e checklists é possível criar e automatizar a criação de apontamentos (Nessus, Have I Been Pwned, Qualys, Acunetix, Custom Parser, etc). Também é possível criar apontamentos customizados de forma bastante simples.

Apontamentos sempre ocorrem em algum ativo, e possuem severidade, causa raíz e outras informações relacionadas, sendo possível definir datas limites e responsável pelas correções assim como classificá-los através de categorias e definir itens de recomendação, teste, mitigação, referências externas e evidências.

Os apontamentos são salvos em uma base de conhecimento e podem ser reutilizado quantas vezes for necessário.

Já os ativos no GAT são as entidades que trazem risco cibernético para a empresa. São sobre eles que os apontamentos de segurança incidem. Ativos podem ser: 

– Hosts: com IP, hostname, sistema operacional, etc; 

– Aplicações Web: representadas por uma URL; 

– Pessoas: representadas por seu endereço de email; 

– Empresas: com Nome, responsável, domínio, entre outras; 

– Processos: como Análise de Fornecedor, PCI, etc; 

– Cloud: ativos de nuvens AWS, Azure, Google Cloud, etc; 

Um grupo de ativos permite focar e isolar determinadas áreas ou processos da empresa e ter a visão segmentada da evolução do programa de segurança e priorizar corretamente esforços para os grupos de ativos de maior severidade. 

Nossos clientes realizaram mais de 4mil scans e criaram projetos, checklists, dashboards e automações para priorizar o que realmente importa com clareza e integridade de processos. 

Saiba como o GAT pode ser utilizado pela sua empresa

43 novas funcionalidades e 103 melhorias

Esse ano lançamos uma nova integração com o Nessus, integração com o Have I Been Pwned, integração com AWS EC2, implementação do 2FA, lançamento beta de nossa API pública, templates do Custom Parser, módulo de Assessment com questionário externo, exportação de base de ativos para Excel ou CSV, novas possibilidades de gráficos para ativos, upload de seus resultados de scans em um .zip ou .7z, importação de arquivos XML gerados pelo Qualys VM (scan de infraestrutura) entre muitas outras melhorias. Estamos sempre abertos à sugestões de como podemos tornar o GAT melhor.

62 releases e 241.887 linhas de código escritas

Lançamos 1.9 release por semana! Estamos trabalhando de forma intensa para tornar o GAT cada vez melhor, fazer upgrade de tecnologias, novas integrações e funcionalidades em um ciclo de desenvolvimento ágil e contínuo. Veja todos os nossos releases de 2019

Em 2020…

No próximo ano traremos muito mais novidades para vocês com novas integrações com Qualys, Jira e CA Service Desk; enriquecimento da inteligência do GAT; starter page com principais métricas e action items; onboarding para criação de processos e programas de segurança e conformidade; scan de vulnerabilidades web e infra nativo; análise passiva e contínua do risco cibernético da empresa, security rating de ativos, grupos de ativos e da empresa como um todo além de melhorias de usabilidade e muitas novas funcionalidades.

Tudo isso vai diminuir significativamente o seu tempo de exposição à ameaças e aumentar a maturidade de segurança da sua organização. Para saber mais sobre uma demonstração de como a plataforma GAT de Gestão Integrada de Risco Cibernético e Conformidade pode ajudar você e sua empresa a estarem à frente das ameaças.

Comece agora a melhorar sua segurança

Você também pode curtir isso:

Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
contato@gatinfosec.com

Siga-Nos