Fase
Kickoff & Escopo
Alinhamento com Comitê de Segurança do cliente: regulação aplicável (OAB, BACEN, CVM, ANS, PREVIC), número de unidades físicas, profundidade da campanha de engenharia social e cronograma. Saída: termo de escopo aprovado.
Diagnóstico de segurança em 11 domínios — não invasivo, com 5 entregáveis.
A SPKR avalia 11 domínios do ambiente sob NIST CSF + CIS Controls v8 + ISO 27001, com cobertura específica de regulação setorial brasileira (LGPD, OAB Provimento 198/2023, BACEN, CVM, ANS, PREVIC). Diferente de pentest — não invasivo, maior abrangência. Saída: 5 entregáveis para liderança técnica e executiva, com roadmap de mitigação priorizado por impacto e esforço.
02 Como funciona
Kickoff, coleta, análise e readout — quatro fases com marcos quinzenais de validação.
Fase
Coleta & Evidências
Levantamento técnico nos 11 domínios — análise não invasiva de M365, AD, cloud, sistemas publicados, servidores, endpoints, BCP/DR, governança e engenharia social. Captura de evidências auditáveis para cada finding.
Fase
Análise & Classificação
Findings classificados por CVSS, mapeados em NIST CSF + CIS Controls v8 + ISO 27001 + regulação setorial. Roadmap de mitigação com priorização por impacto x esforço (curto, médio e longo prazo).
Fase
Readout
Apresentação executiva e técnica com sessão de Q&A. Os 5 entregáveis (relatório técnico, executivo, roadmap, phishing e apresentação) são entregues e discutidos com Comitê de Segurança e liderança.
03 Entregáveis
Cinco entregáveis — cada audiência recebe o material que sabe ler.
Audiência técnica
Relatório Técnico Detalhado
Findings com classificação CVSS, descrição do impacto, evidências capturadas e recomendações específicas de remediação técnica. Material de referência para equipe interna de TI executar.
Audiência C-Level
Relatório Executivo
Mapa de risco para Comitê e liderança executiva. Linguagem de negócio, sem jargão técnico desnecessário. Foco em decisões de investimento e alocação de recursos.
Audiência mista
Roadmap de Mitigação
Plano de ação priorizado por impacto x esforço — curto prazo (semanas), médio (meses) e longo (ciclo orçamentário). Alinhado com regulação setorial aplicável e recursos disponíveis.
Audiência RH + TI
Relatório de Phishing
Métricas detalhadas da campanha simulada — taxa de clique por departamento, credenciais inseridas, anexo malicioso aberto. Subsídio para programa de treinamento e conscientização contínua.
Audiência conjunta
Apresentação Executiva + Técnica
Sessão de readout dedicada com Comitê de Segurança e liderança. Q&A para C-Level e equipe técnica em pauta única — tradução simultânea entre linguagem executiva e técnica.
04 11 domínios
Onze domínios técnicos — agrupados em quatro frentes para cobertura ponta a ponta.
Frente
Identidade & Acessos
- D/01 Microsoft 365: Entra ID, Exchange, SharePoint, Teams, OneDrive, Defender, Purview, Intune
- D/02 Active Directory: estrutura, contas privilegiadas, Kerberos, BloodHound, GPOs
Frente
Infraestrutura & Cloud
- D/03 Cloud Pública: IAM, VCN, instâncias, storage, Network ACLs (Azure / OCI / AWS / GCP)
- D/04 Sistemas publicados: OSINT, CVEs ativas, certificados SSL, headers HTTP, exposições
- D/05 Servidores: OS, patches, EDR, backups, serviços críticos, hardening
Frente
Endpoint & Pessoas
- D/06 Phishing simulado: campanhas controladas com métricas de clique, credenciais e anexo malicioso
- D/07 Endpoint: proteção, criptografia BitLocker/FileVault, DLP, política BYOD
- D/11 Engenharia social: OSINT, vishing, pretexting, tailgating, shoulder surfing, USB drop, dumpster diving
Frente
Continuidade & Governança
- D/08 Unidades físicas: firewall, Wi-Fi, rede cabeada, racks, controle de acesso, UPS
- D/09 PCN/DR: BCP, DRP, backup, redundância, gestão de crise, RTO/RPO
- D/10 Governança e Políticas: PSI, AUP, IAM, ativos, fornecedores, compliance setorial
05 Perguntas frequentes
Perguntas frequentes sobre SPKR Assessment.
Qual a diferença entre Assessment e Pentest?
Pentest testa se um atacante consegue invadir um vetor específico hoje — é invasivo, foca em explorar vulnerabilidades e responde "vocês resistem a essa técnica?". Assessment é não invasivo, mapeia maturidade de segurança em todas as camadas e responde "onde estão os gaps que precisam virar projeto?". Pentest é tático; Assessment é estratégico. A SPKR opera ambos em projetos separados, conforme o objetivo.
A SPKR conhece regulação setorial (LGPD, OAB 198, BACEN, CVM, ANS, PREVIC)?
Sim. LGPD aplica a todas as operações. Para advocacia, cobertura específica do Provimento OAB 198/2023 (proteção de dados em escritórios de advocacia). Para financeiro, Resoluções BACEN e CVM relevantes. Para saúde, ANS e LGPD-saúde. Para previdência, PREVIC. O escopo regulatório é definido no kickoff conforme o setor do cliente.
Quanto tempo dura o projeto?
Varia conforme escopo — número de unidades físicas, profundidade da campanha de engenharia social e complexidade do ambiente. Projetos típicos para escritório com 3 unidades + 11 domínios completos rodam em 6 a 12 semanas com 4 marcos quinzenais de validação. O cronograma exato é definido na proposta após kickoff.
Inclui remediação ou só diagnóstico?
O SPKR Assessment é diagnóstico + roadmap de mitigação priorizado. A remediação é projeto separado — pode ser executada pela equipe interna do cliente, por terceiros, ou pela própria SPKR (cotada à parte conforme escopo das ações). Princípio comercial: o assessment é entregável independente, sem amarração com remediação.
O Assessment é invasivo? Pode parar minha operação?
Não. O Assessment é não invasivo por design: análise de configuração via consoles administrativos do firewall NGFW corporativo, Microsoft 365, hyperscaler cloud e diretório corporativo, revisão de evidências documentais, OSINT externo e campanhas controladas de phishing/engenharia social com janela acordada. Sem exploração ativa de vulnerabilidades em produção. Pentest, se contratado em paralelo, opera em ambiente segregado ou janela controlada.
O que diferencia o SPKR Assessment de outros do mercado?
Três pontos: (1) cobertura específica de regulação setorial brasileira — OAB Provimento 198/2023, Resoluções BACEN/CVM, ANS, PREVIC — não só LGPD genérica; (2) integração com sustentação SPKR — quando o roadmap precisa virar projeto, a mesma equipe que diagnosticou pode operar a remediação (sem terceirização opaca); (3) readout dedicado ao Comitê de Segurança — sessão presencial ou videoconferência com Q&A misto técnico + executivo.
O SPKR Assessment atende clientes fora do Rio de Janeiro?
Sim. A maior parte do Assessment é remota — análise de consoles administrativos, OSINT, campanha de phishing por e-mail, governança documental. Atendemos operações em São Paulo, Rio de Janeiro e demais regiões do Brasil. O caso real do escritório de advocacia full-service envolve unidades em SP e RJ. Para domínios que exigem inspeção física (D/08 Unidades físicas e parte de D/11 Engenharia social — tailgating, USB drop), agendamos visitas pontuais conforme a localização das unidades do cliente.
06 Combine com
Produtos, soluções e ecossistema técnico que conversam com SPKR Assessment.
Decida com base em fato — diagnóstico estruturado, roadmap priorizado, readout para o Comitê.
Conversa de 30 minutos com a equipe técnica SPKR define o escopo do Assessment — regulação aplicável, número de unidades, profundidade da engenharia social — com proposta clara em real e cronograma com marcos quinzenais.