1.

Os sistemas legados foram desenvolvidos internamente ou comprados e customizados

2. Rodam em instalações próprias, terceirizadas ou estão em nuvem?
3. Todos ainda recebem suporte do fabricante?

4. A plataforma de desenvolvimento é ágil?

5. Em que medida as fabricas de desenvolvimento são próprias ou de fornecedores de software?
6. Comó a prática de desenvolvimento seguro de aplicativos está integrada na plataforma ágila?
7. Como os requisistos de proteção de dados da LGPD estão incorporados na dinâmica de
deseenvolvimento? e na metodologia ágil?
8. Que requisitos de segurança foram exigidos na contratação de serviços de processamente e
armazenamento de dados e de computação(On primes ou em nuvem?

9. A empresa está executando várias versões dos sistemas principais em diferentes

departamentos?
10. A empresa está executando várias versões dos sistemas operacionais em diferentes
departamentos?

11. Até que ponto a empresa integrou os sistemas das empresas que adquiriu?

12. Como é feita a gestão de acesso aos sistemas?

13. Como é feita a concessão de acessos e privilégios aos sistemas, banco de dados e redes?
14. Quandos pessoas são administradores de ambientes, cargos e motivos?

15. Como é protegida a privacidade das informações de funcionarios, clientes, fornecedores,

terceiro, entre outros, que são tratados pelos sistemas da companhia?
16. Como é protegida a privacidade das informações de funcionarios, clientes, fornecedores,
terceiro, entre outros, que são tratados pelos metodos tradicionais/fisicos da companhia?
17. Como é feita a captura de dados fisicos e digitais dos funcionarios, clientes, fornecedores,
terceiro, entre outros, que são tratados pela empresa?
18. A empresa comprou em algum momento dados de bureau ou fez alguma enxerto de dados em
suas bases?

19. Como é feita a gestão de consetimentos?

20. Por via digital ou fisica?
21. Exite Reconhecimento de firma?

22. Existe um programa de segurança cibernetica e de proteção de dados? Explique resumidamente

23. Qual é a área responsável pela gestão da segurança cibernetica?
24. Qual é a área responsável pela gestão da proteção de dados?
25. A politica de segurança de dados fisicos ou digitais e o plano de gestão de crise em respostas a
incidentes com dados estão definidos, implantados e divulgados?

26. Qual é o nivel de experiência dos colaboradores do time de segurança?

27. Falta competências tecnica e gerenciais no time de segurança?

28. Quais são os principais objetivos anuais de modo geral para a segurança?
29. O orçamento para a segurança está adequada e suficiente?
30. Está em concordancia com as referencias de Opex e Capex do seu setor/seguimento?
31. A empresa usa algums framework de seguramça ou melhores praticas definidas pelo mercado
(Book of Knowledge ou ISOs)?

32. Os riscos de proteção e forma de manipulação de dados são analisados frequentemente, de

forma convergente e recebem a atenção devida da alta administração?

33. As iniciativas de inovação e transformação digital da empresa consideram desde o inicio os

temas de riscos ciberneticos e proteção de dados (cyber & Privicy by design)?