1. Existe documentação da topologia da rede (cabeada e wireless)? planilha de ips?

Com qual frequência

é atualizada?

2. Quais medidas são aplicadas para garantir a proteção das informações nas redes e dos recursos de rede
disponibilizados aos usuários ?
- Ex: Bloqueio de portas do switches (NAC, 801.1x)

3. Existe proteção especial quantos aos dados que trafegam sobre redes públicas ou wireless?

1. São implantados controles para a segurança dos serviços de rede como por exemplo autenticação,
encriptação ou controle de conexões de rede ?

2. Possuem firewall, sistema de detecção de intrusos , mitigadores de ataque, etc?

3. Existem procedimentos para restringir o acesso a serviços de rede ou aplicações quando necessário?

1. As redes são segregadas em função de seu tipo/funcionalidade? ( Corporativa, visitantes ; por andar ;
por setor)
- VLANs, DMZ?

1.1. São utilizados gateways tipo firewall para segregação das redes?

2. As redes wireless por ser naturalmente um perímetro considerado fraco tem um tratamento especial?

3. Acesso de redes externas utilizam recursos de redes privadas virtuais (VPN)?

1. é permito o acesso a web? e a sites externos?

2. como o acesso a sites externos são gerenciados?
3. são utilizadas ferramentas que bloqueiam o acesso a sites maliciosos? se não, há um padrão de
navegadores seguros para utilização?
4. está definida a lista dos sites que os colaboradores podem acessar e quais devem ser bloqueados?
5. são realizados treinamentos sobre o uso seguro e adequado de recursos on-line, incluindo o acesso à
web?

1. Existe implementada uma política para o uso de controles criptográficos para proteção da informação?

1.1. A política prevê a proteção das informações transportadas em mídias removíveis, notebooks ou
através de linhas de comunicações?

1.2. A política prevê critérios para utilização da criptografia, de acordo com a classificação da informação
acessada/ armazenada/ transmitida?

2. Há tecnologia implementada que viabilize a criptografia para banco, disco, senhas ou mídias de
armazenamento? / 1. Existe uma política sobre o uso, proteção e tempo de vida das chaves criptográficas
ao longo de todo o seu ciclo de vida?

2. O sistema de gerenciamento de chaves é utiliza métodos seguros para: gerar chaves para diferentes
sistemas criptográficos e diferentes aplicações; armazenar as chaves, mudar ou atualizar, revogar, destruir
e etc.

1. Há política para desenvolvimento seguro de sistemas e software dentro da organização?

- Ex: Orientação sobre solicitação, autorizações, testes, implementação, segregação de acessos e funções,
proteção de dados pessoais.

1.1. Os requisitos são observados em todo o ciclo de vida do desenvolvimento ? / 1. As mudanças

ocorridas durante o ciclo de vida de desenvolvimento de sistemas são registradas e controladas utilizando
procedimentos formais de controle de mudanças?

2. É realizado um controle de versões do sistema?

2.1. A documentação é atualizada e alinhada com o versionamento?

- Exemplo: Especificação técnica e funcional

3. São avaliados os riscos e impactos das mudanças antes de autorizar sua implementação?

4. Existem janelas de mudança definidas e elas são comunicadas as partes interessadas?

A.13.1.2 Segurança dos serviços de rede: Mecanismos de segurança, níveis de serviço e requisitos de
gerenciamento de todos os serviços de rede devem ser identificados e incluídos em qualquer acordo de
serviços de rede, tanto para serviços de rede providos internamente como para terceirizados.

Prioridade: ALTA
Recomendação:

 Coordenar atividades de gerenciamento de rede para otimizar os serviços para a organização e

assegurar que os controles estão aplicados de forma consistente sobre toda a infraestrutura de
processamento, armazenamento e transmissão da informação, especialmente onde há dados
pessoais envolvidos.

 Estabelecer e implementar procedimentos para restringir o acesso a serviços de rede ou

aplicações sempre que necessário. Os serviços de rede incluem o fornecimento de conexões,
serviços de rede privados, redes de valor agregado e soluções de segurança de rede
gerenciadas, com soluções de autenticação, encriptação e controle de conexões de rede, como
firewall, sistema de detecção de intrusos, mitigadores de ataque, etc.

 Sugestão de Melhoria: criar rotina periódica para verificar a manutenção da ativação de

recursos críticos para a segurança e visibilidade da rede da AEC (ou aplicação automatizada de
baseline de configuração segura), como:
 Inspeção de tráfego criptografado: verificar se o recurso se mantém ativo e se as
regras continuam adequadas ao ambiente da organização.
 Recurso de IPS/IDS ativo: verificar se o recurso se mantém ativo e atualizado com a
base de assinatura mais recente.

 Manter controles utilizados, revisando sua aplicabilidade periodicamente ou sempre que

houver alterações relevantes de objetivo de negócio ou de operação. Manter histórico com os
devidos controles de alterações.

A.13.1.3 Segregação de redes: Grupos de serviços de informação, usuários e sistemas de informação

devem ser segregados em redes.

Prioridade: ALTA
Recomendação:

 Definir o perímetro de cada domínio da rede corporativa e segregá-la em redes menores em

função de seu tipo/funcionalidade: corporativa, visitantes; por andar; por setor; entre outros.
  Fazer uma avaliação dos requisitos de segurança da informação de cada domínio, de acordo
com os requisitos de acesso, o valor e a classificação da informação processada, e que leve em
conta o impacto no desempenho e no custo da incorporação da tecnologia gateway adequada
(por exemplo, firewall, roteador de filtro).

 Definir tratamentos diferenciados para redes wireless, por ser naturalmente um perímetro
considerado fraco.

 Utilizar recursos de redes privadas virtuais seguros para conexão na rede interna através de
redes externas, como a implementação de solução de DMZ e VPN.

 Manter demais controles utilizados, revisando sua aplicabilidade periodicamente ou sempre

que houver alterações relevantes de objetivo de negócio ou de operação. Manter histórico com
os devidos controles de alterações.

Filtragem web não achei

Controles:

A.10.1.1 Política para o uso de controles criptográficos: Deve ser desenvolvida e implementada uma
política para o uso de controles criptográficos para a proteção da informação.

Prioridade BAIXA
:

Recomendação:

 Estabelecer uma política para uso de criptografia, para tratamento dos riscos associados às
informações confidenciais e dados pessoais, de acordo com a classificação da informação.

 Desenvolver procedimentos e considerar a implementação de recursos tecnológicos de

controle criptográfico para mídias removíveis (ver A.8.3), notebooks (ver A.8.3), backup (ver
12.3), transferência de informação através de linhas de comunicações (ver A.13.1) e proteção
de registros (ver A.18.1.3), entre outros.

 Manter demais controles utilizados, revisando sua aplicabilidade periodicamente ou sempre

que houver alterações relevantes de objetivo de negócio ou de operação. Manter histórico com
os devidos controles de alterações.
A.14.2.1 Política de desenvolvimento seguro: Regras para o desenvolvimento de sistemas e software
devem ser estabelecidas e aplicadas aos desenvolvimentos realizados dentro da organização.

Prioridade: MÉDIA
Recomendação:

 Estabelecer e implementar uma política de desenvolvimento seguro que defina regras para o
desenvolvimento de sistemas e softwares dentro da organização. Nesta política, os seguintes
aspectos devem ser considerados: segurança do ambiente de desenvolvimento; segurança na
metodologia de desenvolvimento; diretrizes de códigos seguro para cada linguagem de
programação; pontos de verificação de segurança no cronograma do projeto; repositórios
seguros; segurança no controle de versões; privacidade dos dados pessoais; dentre outros.
 Diretrizes sobre o cuidado com a utilização de dados pessoais durante o projeto e seu
desenvolvimento devem ser estabelecidas, como por exemplo, evitar o uso de dados pessoais
em bases de testes

 Manter demais controles utilizados, revisando sua aplicabilidade periodicamente ou sempre

que houver alterações relevantes de objetivo de negócio ou de operação. Manter histórico com
os devidos controles de alterações.