Anterior

Avançar

Etapa 4 – Verificar

Concluído

A fase de verificação é a última etapa do processo de modelagem de ameaças e geralmente acontece antes da implantação do sistema. Ele envolve a garantia de que os requisitos são cumpridos, as suposições são validadas e os controles de segurança estão em vigor.

Metas

• Confirme se o sistema atende a todos os requisitos de segurança anteriores e novos
• Configurar o provedor de nuvem, o sistema operacional e os componentes a fim de atender aos requisitos de segurança
• Certifique-se de que todos os problemas sejam resolvidos com os controles de segurança corretos
• Submeter o sistema à verificação manual e automatizada antes da implantação

Importante

Se você não concluir essa fase, não conseguirá verificar se o trabalho de segurança foi concluído com êxito.

Verificar requisitos e definir padrões

Comece verificando se todos os requisitos criados na primeira fase foram atendidos.

Exemplos:

• Planos de segurança de rede
• Implementação da solução de gerenciamento de segredos
• Sistemas de monitoramento e registro em log
• Controles de acesso e identidade

Em seguida, altere todas as configurações padrão do provedor de nuvem, do sistema operacional e dos componentes para atender a todos os requisitos de segurança.

Exemplos:

• Habilitar a Transparent Data Encryption do Banco de Dados SQL do Azure para proteger dados em disco
• Usar o RBAC (controle de acesso baseado em função) para atribuir permissões a usuários, grupos e aplicativos
• Habilitar o Firewall do Windows em todos os perfis

Você deve resolver todos os problemas registrados na solução de gerenciamento de bugs. Verifique todas as correções.

Executar a verificação

A última parte envolve executar verificações manuais e automatizadas. Na Microsoft, os sistemas estão sujeitos a um processo de verificação antes da implantação. O processo pode incluir scanners automatizados, revisões de código e testes de penetração. O processo pode ser imposto antes de cada implantação ou entre intervalos de tempo, por exemplo, a cada 6 a 12 meses.

Se você responder sim a qualquer uma das seguintes perguntas, talvez convenha ter cadências de verificação mais curtas:

• O meu sistema será usado externamente?
• Ele lida com os dados confidenciais?
• Eu preciso cumprir regulamentos?
• Minha organização exige processos de segurança extras, como implicações de privacidade, risco operacional ou requisitos de desenvolvimento?

Verificar seu conhecimento

1.

O que acontece na Fase de Verificação?

Você implementa a lista de controles de segurança aplicáveis que reduz ou elimina o risco.

O código é examinado manualmente antes de ser enviado para o branch de preparo para implantação.

O sistema é verificado manual ou automaticamente contra ameaças geradas anteriormente para verificar se os controles de segurança reduziram ou eliminaram o risco.

É necessário responder a todas as perguntas antes de verificar o trabalho.

Continuar