Escala de Maturidade de Segurança
De CIGAM WIKI
Revisão de 20h39min de 26 de agosto de 2024 por Elizama.Dias (discussão | contribs) (→Escala de Maturidade de Segurança)
Escala de Maturidade de Segurança
Ao avaliar cada um dos itens deste checklist, será possível definir uma posição na escala de maturidade. Para isso, deverão ser destacados todos os itens que são atendidos conforme a tabela abaixo, sendo os itens com valor contido em células com cor vermelha são considerados críticos.
| ITEM | VALOR |
| Os as versões dos recursos de software estão com as últimas atualizações conforme o período de suporte do fabricante e dos requisitos de software solicitados pelo CIGAM? | 30 |
| Os recursos e tecnologias do ambiente estão distribuídos de forma segmentada, ou seja, oposto de servidor único? | 25 |
| Os recursos de software do ambiente estão de acordo com os requisitos de software solicitados pelo CIGAM? | 20 |
| Os recursos de hardware do ambiente estão de acordo com os requisitos de hardware solicitados pelo CIGAM? | 10 |
| Os dimensionando dos recursos de hardware estão de acordo com as fórmulas de cálculo conforme os requisitos de hardware solicitados pelo CIGAM? | 10 |
| Existe um plano de continuidade de negócio para casos de falha de hardware? | 10 |
| Existe um plano de resposta a incidentes de segurança, como por exemplo Ransomware, ataques de malware, falhas de software, conforme o Plano de resposta a incidentes (IRP) disponibilizado pelo CIGAM? | 10 |
| São feitos backups regulares dos dados utilizados no CIGAM? | 10 |
| São feitos backups dos arquivos utilizados no CIGAM? | 20 |
| São utilizadas conexões seguras nas camadas de comunicação das aplicações com acesso externo ou público, como por exemplo SSL/TLS? Referências: GE - Importância do uso do HTTPS Como Fazer - Instalação Let's Encrypt com IIS |
10 |
| São dadas permissões explicitas somente nos recursos que possuem acesso externo ou público, como aplicações, arquivos e portas de comunicação? | 10 |
| São utilizados recursos de criptografia de strings de conexão com bancos de dados? | 15 |
| Os usuários possuem direitos e permissões bem definidas e com senha forte? | 20 |
| VALOR TOTAL POSSÍVEL | 200 |
Todos os itens atendidos do checklist deverão ter seu VALOR somado de modo que se obtenha um total. Para calcular o índice de maturidade, deverá ser feita uma divisão do total de itens atendidos pelo VALOR TOTAL POSSIVEL disponível no final da tabela dos itens.
Por exemplo, se a soma do VALOR dos itens atendidos totalizar 120 e o VALOR TOTAL POSSÍVEL for 160, o índice de maturidade calculado será 0,75.
Caso o ambiente não tenha 1 dos itens destacados como crítico, deverá ser considerado o índice C para o ambiente. Da mesma forma, caso o ambiente não tenha 2 ou mais itens destacados como crítico, deverá ser considerado o índice D para o ambiente.
De posse do índice de maturidade calculado, pode-se verificar a posição na escala de maturidade conforme a tabela abaixo.
| ÍNDICE | FAIXA | MATURIDADE |
| A | De 0,85 a 1,0 | Muito alta |
| B | De 0,60 a 0,85 | Maturidade alta |
| C | De 0,40 a 0,60 | Maturidade média |
| D | De 0,20 a 0,40 | Maturidade baixa |
| E | De 0 a 0,20 | Maturidade muito baixa |
Maturidades conforme os índices A e B requerem ações no sentido de manter ou melhorar alguns pontos.
Maturidade conforme o índice C requer ações de melhoria curto prazo.
Maturidades conforme os índices D e E requerem ações de melhorias urgentes, a curtíssimo prazo.
