Escala de Maturidade de Segurança

De CIGAM WIKI
Revisão de 13h42min de 27 de agosto de 2024 por Elizama.Dias (discussão | contribs)


Escala de Maturidade de Segurança

Ao avaliar cada um dos itens deste checklist, será possível definir uma posição na escala de maturidade. Para isso, deverão ser destacados todos os itens que são atendidos conforme a tabela abaixo, sendo os itens com valor contido em células com cor vermelha são considerados críticos.
ITEM VALOR
Os as versões dos recursos de software estão com as últimas atualizações conforme o período de suporte do fabricante e dos requisitos de software solicitados pelo CIGAM? align=center style="background-color:#ff2f2f;" | 30
Os recursos e tecnologias do ambiente estão distribuídos de forma segmentada, ou seja, oposto de servidor único? align=center style="background-color:#ff2f2f;" | 25
Os recursos de software do ambiente estão de acordo com os requisitos de software solicitados pelo CIGAM? align=center style="background-color:#ff2f2f;" | 20
Os recursos de hardware do ambiente estão de acordo com os requisitos de hardware solicitados pelo CIGAM? align=center| 10
Os dimensionando dos recursos de hardware estão de acordo com as fórmulas de cálculo conforme os requisitos de hardware solicitados pelo CIGAM? align=center| 10
Existe um plano de continuidade de negócio para casos de falha de hardware? align=center| 10
Existe um plano de resposta a incidentes de segurança, como por exemplo Ransomware, ataques de malware, falhas de software, conforme o Plano de resposta a incidentes (IRP) disponibilizado pelo CIGAM? align=center| 10
São feitos backups regulares dos dados utilizados no CIGAM? 10
São feitos backups dos arquivos utilizados no CIGAM? align=center style="background-color:#ff2f2f;" | 20
São utilizadas conexões seguras nas camadas de comunicação das aplicações com acesso externo ou público, como por exemplo SSL/TLS?
Maiores detalhes sobre isso podem ser verificados nesse link: Importância do uso do HTTPS
align=center| 10
São dadas permissões explicitas somente nos recursos que possuem acesso externo ou público, como aplicações, arquivos e portas de comunicação? align=center| 10
São utilizados recursos de criptografia de strings de conexão com bancos de dados? 15
Os usuários possuem direitos e permissões bem definidas e com senha forte? align=center style="background-color:#ff2f2f;" | 20
VALOR TOTAL POSSÍVEL align=center| 200


Todos os itens atendidos do checklist deverão ter seu VALOR somado de modo que se obtenha um total. Para calcular o índice de maturidade, deverá ser feita uma divisão do total de itens atendidos pelo VALOR TOTAL POSSIVEL disponível no final da tabela dos itens.
Por exemplo, se a soma do VALOR dos itens atendidos totalizar 120 e o VALOR TOTAL POSSÍVEL for 160, o índice de maturidade calculado será 0,75.
Caso o ambiente não tenha 1 dos itens destacados como crítico, deverá ser considerado o índice C para o ambiente. Da mesma forma, caso o ambiente não tenha 2 ou mais itens destacados como crítico, deverá ser considerado o índice D para o ambiente.

De posse do índice de maturidade calculado, pode-se verificar a posição na escala de maturidade conforme a tabela abaixo.


ÍNDICE FAIXA MATURIDADE
A De 0,85 a 1,0 Muito alta
B De 0,60 a 0,85 Maturidade alta
C De 0,40 a 0,60 Maturidade média
D De 0,20 a 0,40 Maturidade baixa
E De 0 a 0,20 Maturidade muito baixa


Maturidades conforme os índices A e B requerem ações no sentido de manter ou melhorar alguns pontos.
Maturidade conforme o índice C requer ações de melhoria curto prazo.
Maturidades conforme os índices D e E requerem ações de melhorias urgentes, a curtíssimo prazo.