Develop Vulnerability Management Plans
O desenvolvimento de planos detalhados para a gestão de vulnerabilidades é um processo essencial para garantir que a organização esteja preparada para identificar, avaliar e mitigar vulnerabilidades de segurança.
Este processo envolve a criação de um framework abrangente que define as políticas, procedimentos e responsabilidades para a gestão de vulnerabilidades.
Começa com a análise dos riscos e a identificação das vulnerabilidades potenciais nos sistemas de TI.
Em seguida, são definidos os objetivos de segurança, as estratégias de mitigação e as prioridades de remediação.
O plano também deve incluir a integração de ferramentas automatizadas para varredura de vulnerabilidades, bem como a definição de um cronograma para avaliações regulares.
A documentação completa do plano garante que todos os stakeholders estejam cientes de suas responsabilidades e das medidas a serem adotadas para proteger a infraestrutura de TI contra ameaças cibernéticas.
- PDCA focus: Plan
- Periodicidade: Anual
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Conduct Risk Analysis | Realizar uma análise de riscos para identificar vulnerabilidades potenciais. | Dados de risco, análise de ameaças | Relatório de análise de riscos | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 2 | Define Security Objectives | Definir objetivos de segurança alinhados aos requisitos de negócios e regulatórios. | Relatório de análise de riscos | Objetivos de segurança definidos | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Architecture & Technology Visioning; Informed: All areas | Decider: Cybersecurity; Advisor: Architecture & Technology Visioning; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 3 | Develop Mitigation Strategies | Desenvolver estratégias de mitigação para lidar com as vulnerabilidades identificadas. | Objetivos de segurança definidos | Estratégias de mitigação | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 4 | Establish Priorities | Estabelecer prioridades de remediação com base na gravidade das vulnerabilidades. | Estratégias de mitigação | Prioridades estabelecidas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 5 | Document Vulnerability Plan | Documentar o plano de gestão de vulnerabilidades de forma detalhada. | Prioridades estabelecidas | Plano de gestão de vulnerabilidades | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Identify Vulnerability Scenarios
A identificação dos cenários de vulnerabilidades é um processo fundamental para entender os diferentes tipos de ameaças que podem afetar a infraestrutura de TI da organização.
Este processo envolve a utilização de ferramentas automatizadas de varredura de vulnerabilidades, além da análise manual de especialistas em segurança cibernética.
Os cenários de vulnerabilidades devem ser classificados com base em sua gravidade e no potencial impacto nos sistemas e dados da organização.
A identificação precisa desses cenários permite a criação de estratégias de mitigação eficazes e a priorização dos esforços de remediação.
A colaboração entre as equipes de TI e de segurança cibernética é crucial para garantir que todas as possíveis vulnerabilidades sejam identificadas e abordadas de forma adequada.
- PDCA focus: Plan
- Periodicidade: Semestral
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Conduct Automated Scans | Realizar varreduras automatizadas para identificar vulnerabilidades nos sistemas de TI. | Ferramentas de varredura, dados de sistema | Relatórios de varredura | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 2 | Perform Manual Analysis | Executar análise manual de especialistas para identificar vulnerabilidades não detectadas automaticamente. | Relatórios de varredura | Relatórios de análise manual | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Classify Vulnerabilities | Classificar as vulnerabilidades com base em sua gravidade e impacto potencial. | Relatórios de análise manual | Vulnerabilidades classificadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Document Vulnerability Scenarios | Documentar os cenários de vulnerabilidades identificados de forma detalhada. | Vulnerabilidades classificadas | Documentação de cenários | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 5 | Review Scenarios with Stakeholders | Revisar os cenários de vulnerabilidades com as partes interessadas para validação e priorização. | Documentação de cenários | Cenários revisados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Execute Vulnerability Assessments
A execução das avaliações de vulnerabilidades conforme planejado é crucial para identificar as fraquezas nos sistemas de TI e implementar medidas corretivas antes que possam ser exploradas por atacantes.
Este processo envolve a realização de varreduras regulares e detalhadas nos sistemas, a aplicação de testes de penetração para identificar vulnerabilidades em profundidade e a análise dos resultados para definir as ações de remediação.
A colaboração entre as equipes de segurança cibernética, desenvolvimento de software e operações de TI é fundamental para garantir que todas as áreas críticas sejam avaliadas e protegidas.
A documentação e o relatório detalhado das avaliações realizadas são essenciais para manter um histórico das vulnerabilidades identificadas e das ações tomadas para mitigá-las.
- PDCA focus: Do
- Periodicidade: Contínua
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Perform Regular Scans | Realizar varreduras regulares de vulnerabilidades nos sistemas de TI. | Ferramentas de varredura, dados de sistema | Relatórios de varredura | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 2 | Conduct Penetration Testing | Realizar testes de penetração para identificar vulnerabilidades em profundidade. | Relatórios de varredura | Relatórios de testes de penetração | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Analyze Assessment Results | Analisar os resultados das avaliações de vulnerabilidades para definir ações corretivas. | Relatórios de testes de penetração | Relatórios de análise | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Implement Remediation Actions | Implementar ações de remediação para corrigir as vulnerabilidades identificadas. | Relatórios de análise | Ações de remediação implementadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 5 | Document and Report Findings | Documentar e relatar os resultados das avaliações e as ações de remediação para as partes interessadas. | Ações de remediação implementadas | Relatórios de avaliação | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Monitor Vulnerability Management Performance
O monitoramento contínuo do desempenho da gestão de vulnerabilidades é essencial para garantir a eficácia das medidas implementadas e identificar áreas que necessitam de ajuste.
Este processo envolve a coleta e análise de dados sobre a performance dos controles de segurança, incluindo a eficácia das varreduras automatizadas e dos testes de penetração.
As auditorias regulares e a análise de logs são componentes chave deste processo.
O feedback obtido através do monitoramento permite ajustes e melhorias contínuas, assegurando que a organização esteja sempre protegida contra novas ameaças.
A comunicação regular dos resultados do monitoramento para as partes interessadas é crucial para manter a transparência e a confiança.
- PDCA focus: Check
- Periodicidade: Mensal
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Collect Performance Data | Coletar dados de desempenho das soluções de segurança implementadas. | Logs de segurança, relatórios de auditoria | Dados de desempenho coletados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 2 | Analyze Security Metrics | Analisar as métricas de segurança para avaliar a eficácia das soluções implementadas. | Dados de desempenho coletados | Relatórios de análise de métricas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Conduct Security Audits | Realizar auditorias de segurança para identificar possíveis vulnerabilidades e não conformidades. | Relatórios de análise de métricas | Relatórios de auditoria | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 4 | Generate Improvement Reports | Gerar relatórios de melhoria com base na análise de desempenho e auditorias realizadas. | Relatórios de auditoria | Relatórios de melhoria | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 5 | Report Findings | Relatar as descobertas e recomendações de melhoria para a alta gestão e partes interessadas. | Relatórios de melhoria | Relatórios de descobertas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Review and Improve Vulnerability Management Practices
A revisão e otimização contínua das práticas de gestão de vulnerabilidades são fundamentais para manter a eficácia das medidas de proteção e se adaptar a novas ameaças.
Este processo envolve a análise dos resultados do monitoramento e das auditorias para identificar áreas de melhoria.
As lições aprendidas são integradas aos procedimentos existentes e novos controles de segurança são desenvolvidos conforme necessário.
O processo inclui também a atualização das políticas e procedimentos de segurança, a realização de treinamentos regulares e a validação das práticas de segurança através de testes contínuos.
A melhoria contínua assegura que a organização esteja sempre preparada para proteger sua infraestrutura e aplicações contra ameaças emergentes.
- PDCA focus: Act
- Periodicidade: Trimestral
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Analyze Audit Findings | Analisar as descobertas das auditorias e monitoramento de desempenho. | Relatórios de auditoria | Análise de descobertas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Identify Improvement Areas | Identificar áreas de melhoria nos processos de segurança com base na análise. | Análise de descobertas | Lista de áreas de melhoria | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Update Security Procedures | Atualizar os procedimentos de segurança para incorporar as melhorias identificadas. | Lista de áreas de melhoria | Procedimentos atualizados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Conduct Training Sessions | Realizar sessões de treinamento para assegurar que a equipe esteja familiarizada com os procedimentos atualizados. | Procedimentos atualizados | Sessões de treinamento realizadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 5 | Validate Security Practices | Validar as práticas de segurança através de testes e auditorias contínuas. | Procedimentos atualizados | Práticas validadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
