Develop Security Plans
O desenvolvimento de planos detalhados para segurança de infraestrutura e aplicações é um processo crítico que envolve a criação de uma estrutura abrangente para proteger os ativos de TI da organização.
Este processo começa com a avaliação dos riscos e vulnerabilidades para identificar áreas críticas que necessitam de proteção.
Em seguida, são definidos os objetivos de segurança alinhados aos requisitos de negócios e regulatórios.
O plano de segurança deve incluir a implementação de políticas de segurança, procedimentos operacionais e a designação de papéis e responsabilidades.
Além disso, deve estabelecer os mecanismos de monitoramento e resposta a incidentes, garantindo que a organização esteja preparada para lidar com ameaças e violações de segurança.
A documentação detalhada dos planos de segurança é essencial para assegurar que todos os envolvidos compreendam suas funções e as medidas necessárias para manter a segurança da infraestrutura e das aplicações.
- PDCA focus: Plan
- Periodicidade: Anual
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Conduct Risk Assessment | Realizar uma avaliação de riscos para identificar ameaças e vulnerabilidades. | Dados de risco, análise de ameaças | Relatório de avaliação de riscos | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 2 | Define Security Objectives | Definir objetivos de segurança alinhados aos requisitos de negócios e regulatórios. | Relatório de avaliação de riscos | Objetivos de segurança definidos | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Architecture & Technology Visioning; Informed: All areas | Decider: Cybersecurity; Advisor: Architecture & Technology Visioning; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 3 | Develop Security Policies | Desenvolver políticas de segurança para proteção da infraestrutura e das aplicações. | Objetivos de segurança definidos | Políticas de segurança | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 4 | Assign Roles and Responsibilities | Atribuir papéis e responsabilidades para a equipe de segurança de TI. | Políticas de segurança | Documento de papéis e responsabilidades | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 5 | Document Security Plan | Documentar o plano de segurança de forma detalhada e acessível. | Documento de papéis e responsabilidades | Plano de segurança | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Identify Security Requirements
A identificação dos requisitos de segurança para infraestrutura e aplicações é um processo fundamental que assegura que todas as necessidades de proteção sejam compreendidas e atendidas. Este processo envolve a análise dos requisitos regulatórios, as políticas internas e as melhores práticas do setor para determinar as medidas de segurança necessárias. Os requisitos de segurança devem abranger controle de acesso, criptografia, auditoria de segurança, e muito mais. A identificação precisa desses requisitos permite o desenvolvimento de planos de segurança robustos e a implementação de soluções eficazes. A colaboração entre diferentes áreas da TI e do negócio é crucial para garantir que todos os aspectos sejam considerados e que os requisitos sejam adequadamente incorporados aos planos de segurança.
PDCA focus: Plan
Periodicidade: Semestral
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Analyze Regulatory Requirements | Analisar requisitos regulatórios e de compliance para segurança de TI. | Regulamentos, políticas internas | Relatório de requisitos regulatórios | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 2 | Identify Business Needs | Identificar as necessidades de negócios relacionadas à segurança de TI. | Relatório de requisitos regulatórios | Relatório de necessidades de negócios | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Define Security Controls | Definir os controles de segurança necessários para atender aos requisitos identificados. | Relatório de necessidades de negócios | Lista de controles de segurança | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Develop Compliance Procedures | Desenvolver procedimentos de compliance para garantir a conformidade com os requisitos. | Lista de controles de segurança | Procedimentos de compliance | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 5 | Document Requirements | Documentar todos os requisitos de segurança de forma clara e acessível. | Procedimentos de compliance | Documentação de requisitos | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
Implement Security Solutions
A implementação das soluções de segurança conforme planejado é crucial para garantir que as medidas de proteção sejam efetivamente aplicadas e mantidas.
Este processo envolve a execução dos procedimentos definidos nos planos de segurança, incluindo a configuração de firewalls, a implementação de criptografia, a configuração de sistemas de detecção e prevenção de intrusões (IDS/IPS) e a utilização de ferramentas de auditoria de segurança.
A coordenação entre as várias áreas de TI é fundamental para assegurar que as soluções sejam integradas de forma eficaz e que os sistemas estejam protegidos em todos os níveis.
A formação contínua da equipe e a validação das soluções implementadas através de testes regulares garantem a eficácia das medidas de segurança.
- PDCA focus: Do
- Periodicidade: Contínua
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Configure Firewalls | Configurar firewalls para controlar o tráfego de rede e proteger contra acessos não autorizados. | Lista de controles de segurança | Firewalls configurados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Implement Encryption | Implementar criptografia para proteger dados sensíveis durante o armazenamento e a transmissão. | Lista de controles de segurança | Dados criptografados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Deploy IDS/IPS | Implementar sistemas de detecção e prevenção de intrusões (IDS/IPS) para monitorar o tráfego de rede. | Lista de controles de segurança | IDS/IPS implementados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Setup Audit Tools | Configurar ferramentas de auditoria de segurança para monitorar e registrar atividades suspeitas. | Lista de controles de segurança | Ferramentas de auditoria configuradas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 5 | Validate Implementation | Validar a implementação das soluções de segurança através de testes e auditorias. | Ferramentas de auditoria configuradas | Implementação validada | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Monitor Security Performance
O monitoramento contínuo do desempenho das soluções de segurança é essencial para garantir a eficácia das medidas implementadas e identificar áreas que necessitam de ajuste.
Este processo envolve a coleta e análise de dados sobre a performance dos controles de segurança, incluindo a eficácia de firewalls, criptografia e sistemas de detecção e prevenção de intrusões (IDS/IPS). As auditorias regulares e a análise de logs são componentes chave deste processo.
O feedback obtido através do monitoramento permite ajustes e melhorias contínuas, assegurando que a organização esteja sempre protegida contra novas ameaças.
A comunicação regular dos resultados do monitoramento para as partes interessadas é crucial para manter a transparência e a confiança.
- PDCA focus: Check
- Periodicidade: Mensal
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Collect Performance Data | Coletar dados de desempenho das soluções de segurança implementadas. | Logs de segurança, relatórios de auditoria | Dados de desempenho coletados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 2 | Analyze Security Metrics | Analisar as métricas de segurança para avaliar a eficácia das soluções implementadas. | Dados de desempenho coletados | Relatórios de análise de métricas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Conduct Security Audits | Realizar auditorias de segurança para identificar possíveis vulnerabilidades e não conformidades. | Relatórios de análise de métricas | Relatórios de auditoria | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 4 | Generate Improvement Reports | Gerar relatórios de melhoria com base na análise de desempenho e auditorias realizadas. | Relatórios de auditoria | Relatórios de melhoria | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 5 | Report Findings | Relatar as descobertas e recomendações de melhoria para a alta gestão e partes interessadas. | Relatórios de melhoria | Relatórios de descobertas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Review and Optimize Security Processes
A revisão e otimização contínua dos processos de segurança são fundamentais para manter a eficácia das medidas de proteção e se adaptar a novas ameaças.
Este processo envolve a análise dos resultados do monitoramento e das auditorias para identificar áreas de melhoria.
As lições aprendidas são integradas aos procedimentos existentes e novos controles de segurança são desenvolvidos conforme necessário.
O processo inclui também a atualização das políticas e procedimentos de segurança, a realização de treinamentos regulares e a validação das práticas de segurança através de testes contínuos.
A melhoria contínua assegura que a organização esteja sempre preparada para proteger sua infraestrutura e aplicações contra ameaças emergentes.
- PDCA focus: Act
- Periodicidade: Trimestral
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Analyze Audit Findings | Analisar as descobertas das auditorias e monitoramento de desempenho. | Relatórios de auditoria | Análise de descobertas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Identify Improvement Areas | Identificar áreas de melhoria nos processos de segurança com base na análise. | Análise de descobertas | Lista de áreas de melhoria | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Update Security Procedures | Atualizar os procedimentos de segurança para incorporar as melhorias identificadas. | Lista de áreas de melhoria | Procedimentos atualizados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Conduct Training Sessions | Realizar sessões de treinamento para assegurar que a equipe esteja familiarizada com os procedimentos atualizados. | Procedimentos atualizados | Sessões de treinamento realizadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 5 | Validate Security Practices | Validar as práticas de segurança através de testes e auditorias contínuas. | Procedimentos atualizados | Práticas validadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |