Perguntas mais frequentes (FAQs)

Vendas

Decidimos usar o Foundstone. Quais são os primeiros passos?
Estimamos sua empresa e esperamos começar o quanto antes, mas primeiro há algumas coisas importantes que devem ser feitas antes de começar o teste. Em primeiro lugar, todo a documentação deve estar completa antes de agendarmos um horário para realizar os testes. Em geral, a documentação consiste em um contrato de serviços (termos e condições), uma declaração de trabalho e possivelmente um pedido de compras, caso seja solicitado por seu departamento de compras.

Qual é a melhor maneira de entrar em contato com o Foundstone?
Entre em contato com o Foundstone pelo método mais conveniente para você. Nossa equipe de vendas pode ser contatada pelo telefone 949-297-5600, pelo email consulting@foundstone.com, ou via nosso website.

É possível rever o escopo do trabalho? Em caso afirmativo, como?
Sim. O escopo pode ser revisto. Simplesmente, entre em contato com seu gerente de contas. Em geral, o escopo do projeto ocorre antes da declaração do trabalho, mas um adendo à declaração de trabalho existente também pode ser criado.

Reunião inicial

Quando a reunião inicial deve acontecer?
O Foundstone conduz uma reunião inicial pelo menos uma semana antes da data inicial do compromisso. Isso dá tempo suficiente para planejar quaisquer detalhes técnicos e logísticos que possam ser necessários para iniciar a avaliação com êxito.

Quem deve estar na reunião inicial e para quem devo contar sobre isso?
Precisamente, quem deve estar na reunião inicial e quem precisa saber do projeto dependerá dos objetivos gerais da avaliação e como conduziremos o teste real. Os clientes podem nos perguntar se a equipe operacional deve estar em alerta enquanto avaliamos a rede, outros querem ter segurança de que os sistemas de pré-produção estejam seguros antes da implementação e outros clientes solicitam um teste do ambiente de produção. Em geral, aconselhamos que seus colegas saibam deste projeto o quanto antes e que recebam uma explicação detalhada e completa do trabalho. Obter o contrato o quanto antes evitará objeções não esperadas próximas às datas de teste, o que pode causar atrasos. Recomendamos que você observe o seguinte:

  • O ponto de contato do principal projeto ou o gerente de projetos
  • Um representante de operações da rede
  • Um representante de desenvolvimento de aplicativos, caso a avaliação envolva o teste de aplicativos
  • Um representante de segurança da informação
  • Um representante do proprietário do sistema
  • Um membro da equipe de auditoria, caso o projeto seja uma solicitação de auditoria
  • A organização de hospedagem, caso a rede alvo e/ou aplicativo seja hospedado por um terceiro

Na realidade, quem realiza o trabalho e como o Foundstone gerencia os projetos?
Todos os testes técnicos são conduzidos pelos consultores de segurança do Foundstone. Todos os funcionários trabalham em tempo integral, com seguro-fidelidade e passaram por verificações completas sobre experiência anterior. Não temos contratados.

Cada cliente tem uma equipe de projetos. Você não pode interagir com todos os membros do time, mas cada membro tem um papel vital no sucesso dos seus serviços. As equipes padrão incluem:

  • Consultores técnicos responsáveis pelos testes diários. Eles fazem o trabalho mais difícil.
  • Um gerente de projetos que é o ponto de contato primário e também responsável pelo gerenciamento do projeto. Cada projeto é atribuído a um gerente de projetos que é responsável pela reunião inicial, atualizações diárias e entregas. Seu gerente de projetos trabalhará com você para resolver qualquer problema.
  • Um diretor regional que será responsável pela garantia de qualidade e aprovação dos relatórios finais. Os gerentes de projetos são subordinados aos diretores regionais. Os diretores cuidam da transferência de alçada no Foundstone caso os problemas não possam ser resolvidos pelo gerente de projetos.

Como eu entro em contato com o Foundstone para esclarecer dúvidas e preocupações?
A equipe do Foundstone fornecerá informações de contato detalhadas para todos os membros da equipe envolvidos na avaliação. Na maioria dos casos, o gerente de projetos será capaz de auxiliá-lo com todas as dúvidas, mas você também receberá informações para contato com o diretor regional e o gerente da conta caso seja necessário uma erência de alçada para algum problema. Essas informações para contato são enviados com a lista de controle antes da contratação.

Posso solicitar consultores específicos para este projeto?
Se houver consultores específicos com os quais você deseja trabalhar, avise-nos o quanto antes. Se o consultor não foi atribuído anteriormente, processaremos sua solicitação. Esteja certo de que estamos tão comprometidos quanto você com o sucesso do seu projeto. Assim sendo, sempre atribuiremos os consultores apropriados para atingirem os objetivos do projeto. Além disso, uma característica importante do sucesso do Foundstone é o uso de metodologias comprovadas que possibilitam oferecer resultados consistentes com qualquer um de nossos consultores.

Quais informações o Foundstone precisa para iniciar os testes?
Normalmente, são necessários dois tipos de informação: logística e técnica.

  • Logística: Será preenchida uma lista de controle antes da contratação, na reunião inicial, a qual ficará conosco. Isso inclui detalhes de contato, planos de viagem, procedimentos para transferência de alçada e outras informações.
  • Técnico: As necessidades exatas variam de acordo com o tipo de avaliação, mas normalmente incluem endereços de aplicativos ou IP de destino, políticas escritas e outros requisitos. O gerente de projetos do Foundstone fornecerá uma lista detalhada dos requisitos antes da reunião inicial.

O Foundstone conseguirá abordar quaisquer preocupações específicas que tivermos?
Certamente. Se houver áreas de avaliação específicas nas quais você esteja interessado, informe ao gerente do projeto e faremos o possível para solucionar essas preocupações para você. Esta é a primeira pergunta que o gerente de projetos do Foundstone perguntará na reunião inicial.

Execução

Quanta visibilidade temos no processo de avaliação?
Durante a reunião inicial, o gerente do projeto detalhará as várias etapas envolvidas no processo de avaliação. Além disso, as atualizações diárias incluirão especificidades sobre as atividades realizadas no dia e os planos para o dia seguinte. Ao final do projeto, o relatório técnico fornecerá detalhes sobre a metodologia utilizada para realizar o projeto, bem como as observações dos testes. Caso precise de mais detalhes, ou se preferir "acompanhar" os testes, avise o gerente do projeto antes ou durante a reunião inicial. Estamos satisfeitos em trabalhar com você para atender suas solicitações e dúvidas que serão sempre bem-vindas.

O que acontece se minha infraestrutura não estiver pronta ou não funcionar na data de teste?
Quando programamos um projeto, trabalhamos com você para ajudá-lo a entender os requisitos necessários para ser bem-sucedido. Isso inclui os itens logísticos e técnicos listados acima. Caso esses itens não estejam disponíveis ou se o sistema não estiver funcionando no dia em que os testes começarem, não poderemos continuar. Você deve verificar os termos e condições específicos. Em geral, isso estará sujeito a um custo por penalidade e o seu contrato será reenviado para a programação e poderá sofrer atrasos. É de sua responsabilidade garantir que os itens solicitados na lista de controle antes da contratação estejam completos ou o Foundstone não agendará o início de seu projeto.

A que horas do dia os testes serão realizados?
Normalmente, realizamos a maioria dos testes durante o horário comercial de sua região. Isso permite entrar em contato com você imediatamente caso sejam identificados quaisquer problemas de alto risco. Utilizamos algumas ferramentas de varredura automática que demoram um pouco para serem executadas, assim, essas ferramentas são executadas normalmente durante a noite. Temos a capacidade de acessar remotamente qualquer um dos servidores em avaliação e assim finalizar imediatamente uma varredura, caso necessário. Também podemos programar muitas de nossas ferramentas de varredura para entrarem em execução apenas dentro de intervalos de tempo específicos, caso necessário. Podemos ajustar o momento, mas tenha em mente que intervalos de tempo excessivamente restritivos limitarão a eficácia de nossas ferramentas e os resultados que poderemos oferecer no período de avaliação. Se os seus testes precisarem de trabalho fora do horário comercial, você deve notificar o gerente do projeto assim que possível e antes da reunião inicial.

Se o Foundstone obter acesso, serão feitas tentativas para aproveitar esse acesso para comprometer outros sistemas?
Se obtivermos acesso ao sistema, finalizaremos essa linha de testes e faremos uma captura de tela para ilustrar o nível de acesso obtido. Enviaremos essas informações e trabalharemos com você para determinar se deseja mais testes para esclarecer o risco à que sua empresa está exposta.

Após a avaliação, quanto tempo levará para eu ver os resultados?
Fornecemos atualizações diárias ao longo do período de avaliação com um documento preliminar de descobertas que detalha os problemas identificados até a data atual. Essas descobertas estão no mesmo formato fornecido na seção técnica do nosso relatório para que você possa ver os resultados quase exatamente como eles serão entregues no relatório final. Além disso, se quaisquer problemas de alto risco forem encontrados, os quais possam permitir que um atacante obtenha acesso não autorizado ao sistema ou a dados confidenciais, esses resultados serão fornecidos imediatamente, sem esperar a atualização diária do dia seguinte. Após a conclusão dos testes, normalmente fornecemos um relatório esboço dentro de cinco dias úteis.

De que é constituída a entrega final?
A entrega final padrão é o relatório técnico, que inclui um resumo executivo e quaisquer dados simples coletados durante o projeto. Consulte sua declaração de trabalho em busca de qualquer entrega adicional como uma apresentação técnica, apresentação executiva ou declaração de certificação. Adicionalmente, podemos entregar relatórios personalizados, como um arquivo CSV contendo as descobertas.

O que posso esperar do relatório?
O relatório técnico fornece detalhes sobre o projeto, incluindo o escopo da avaliação, os aspectos positivos identificados, as vulnerabilidades identificadas, as recomendações táticas e estratégicas para ajudar a solucionar as vulnerabilidades, as observações detalhadas durante o projeto e a metodologia seguida para realizar a avaliação.

O resumo executivo contém uma visão profunda do projeto, incluindo uma declaração curta do escopo do projeto, uma visão geral das descobertas, um conjunto de recomendações estratégicas e um relatório de segurança para as áreas avaliadas, o qual compara sua empresa às médias do mercado.

Caso tenha requisitos adicionais para os relatórios, avise o gerente do projeto antes ou durante a reunião inicial. Podemos atender à maioria das solicitações caso elas sejam feitas antes do início da avaliação.

Terei a chance de rever o relatório antes que ele seja finalizado?
Sim. Fornecemos todos os relatórios em um formato esboço (no Microsoft Word) e solicitamos o seu feedback dentro de cinco dias úteis. Em seguida, fazemos quaisquer modificações solicitadas antes de finalizar o relatório. Se não recebermos comentários ao final dos cinco dias úteis, entenderemos que não há feedback e finalizaremos o esboço. Normalmente, podemos fazer apenas um conjunto de alterações no relatório. Por isso, é essencial que você forneça todos os comentários detalhados e o feedback por escrito de uma vez, para que possamos abordar todos as suas preocupações.

O Foundstone fará novos testes dos problemas identificados durante a avaliação, caso eles já tenham sido solucionados?
Se desejar incluir testes de verificação, entre em contato com o gerente da conta para adicionar essa solicitação na declaração de trabalho, garantindo assim que os recursos adequados estejam disponíveis.

Quais medidas o Foundstone toma para garantir a segurança das informações?
Todas as informações dos clientes são criptografadas em PGP enquanto elas são armazenadas nos notebooks durante um projeto. Isso é um acréscimo ao uso da criptografia de disco completa nos discos rígidos dos laptops dos consultores. Além disso, toda a comunicação por e-mail que contiver descobertas ou outras informações confidenciais, são criptografadas. As vulnerabilidades são discutidas apenas com os seus funcionários designados. Após um projeto ser concluído, os laptops são limpos de qualquer informação de clientes por meio de mecanismos de exclusão seguros e os relatórios finais são armazenados de forma centralizada.

Devo estar preparado para algum período de inatividade durante os testes?
O Foundstone adota medidas abrangentes para garantir que a avaliação não acarrete nenhum período de inatividade. O período de inatividade relacionado à avaliação do Foundstone é extremamente raro, mas a possibilidade não pode ser descartada. Informe ao gerente do projeto quaisquer ativos que tenham alta necessidade de estarem disponíveis para que os consultores do Foundstone utilizem-no com cuidado. Esses ativos devem ser notificados na lista de controle antes da contratação.

Algum teste intrusivo será realizado?
Não executamos quaisquer ferramentas automáticas, explorações ou scripts que conhecidamente causem negação de serviço como objetivo principal de exploração ou como um efeito colateral. A maioria das nossas avaliações de aplicativos são realizadas por meio de processos manuais, e todas as nossas varreduras automáticas são executadas em modo não intrusivo. Há um risco mínimo de que varreduras não intrusivas causarão problemas para alguns dispositivos de rede legais.

Será necessário parar as atualizações dos aplicativos quando o Foundstone estiver realizando os testes?
Para realizar um teste abrangente e completo, é importante que o Foundstone receba acesso a um ambiente de testes estável. Isso melhorará a produtividade e evitará quaisquer atrasos não esperados. Não aconselhamos que você realize quaisquer alterações no aplicativo durante a realização dos testes. Observação: Isso é específico apenas para os Serviços de Segurança de Aplicativos e Softwares.

Encerramento

O que marcará o encerramento do projeto?
Assim que o relatório técnico final e o resumo executivo forem aceitos, isso marca o fim da avaliação do projeto. O Foundstone conduz uma reunião de encerramento para fornecer detalhes sobre as descobertas e recomendações, além de abordar quaisquer preocupações pendentes. Em seguida, o Foundstone solicita um relatório assinado de atividade do projeto (EAR) e um formulário de feedback.

O que devo fazer se eu tiver dúvidas após a reunião de encerramento?
Aconselhamos que os clientes entrem em contato conosco para esclarecer dúvidas de acompanhamento. Alguém da equipe do Foundstone entrará em contato com você o mais rapidamente possível.

Quem devo contatar para o trabalho de acompanhamento?
Entre em contato com o gerente da conta ou com o gerente do projeto para solicitações de propostas para o trabalho de acompanhamento. Essas informações para contato são fornecidas com a lista de controle antes da contratação.