Etapa 4 – Verificar
A fase de verificação é a última etapa do processo de modelagem de ameaças e geralmente acontece antes da implantação do sistema. Ele envolve a garantia de que os requisitos são cumpridos, as suposições são validadas e os controles de segurança estão em vigor.
Metas
- Confirme se o sistema atende a todos os requisitos de segurança anteriores e novos
- Configurar o provedor de nuvem, o sistema operacional e os componentes a fim de atender aos requisitos de segurança
- Certifique-se de que todos os problemas sejam resolvidos com os controles de segurança corretos
- Submeter o sistema à verificação manual e automatizada antes da implantação
Importante
Se você não concluir essa fase, não conseguirá verificar se o trabalho de segurança foi concluído com êxito.
Verificar requisitos e definir padrões
Comece verificando se todos os requisitos criados na primeira fase foram atendidos.
Exemplos:
- Planos de segurança de rede
- Implementação da solução de gerenciamento de segredos
- Sistemas de monitoramento e registro em log
- Controles de acesso e identidade
Em seguida, altere todas as configurações padrão do provedor de nuvem, do sistema operacional e dos componentes para atender a todos os requisitos de segurança.
Exemplos:
- Habilitar a Transparent Data Encryption do Banco de Dados SQL do Azure para proteger dados em disco
- Usar o RBAC (controle de acesso baseado em função) para atribuir permissões a usuários, grupos e aplicativos
- Habilitar o Firewall do Windows em todos os perfis
Você deve resolver todos os problemas registrados na solução de gerenciamento de bugs. Verifique todas as correções.
Executar a verificação
A última parte envolve executar verificações manuais e automatizadas. Na Microsoft, os sistemas estão sujeitos a um processo de verificação antes da implantação. O processo pode incluir scanners automatizados, revisões de código e testes de penetração. O processo pode ser imposto antes de cada implantação ou entre intervalos de tempo, por exemplo, a cada 6 a 12 meses.
Se você responder sim a qualquer uma das seguintes perguntas, talvez convenha ter cadências de verificação mais curtas:
- O meu sistema será usado externamente?
- Ele lida com os dados confidenciais?
- Eu preciso cumprir regulamentos?
- Minha organização exige processos de segurança extras, como implicações de privacidade, risco operacional ou requisitos de desenvolvimento?