SSI-60. CHECKLIST MESTRE DE SEGURANÇA DA INFORMAÇÃO

1. 60.1. Políticas e Conformidade

1.1. 60.1.1. A organização possui políticas de segurança formalizadas?

1.2. 60.1.2. Há separação de deveres e rotatividade de funções sensíveis?

1.3. 60.1.3. As políticas estão alinhadas com leis e normas (ex: LGPD, ISO 27001)?

1.4. 60.1.4. Existem procedimentos documentados para onboarding e offboarding de usuários?

2. 60.2. Gestão de Identidade e Acesso

2.1. 60.2.1. Há uso de autenticação multifator (MFA)?

2.2. 60.2.2. Há política de senha forte e sua renovação periódica?

2.3. 60.2.3. Existem contas compartilhadas ou sem controle? (se sim, reestruturar)

2.4. 60.2.4. O acesso é concedido com base no princípio do menor privilégio?

3. 60.3. Monitoramento, Auditoria e Logs

3.1. 60.3.1. Há ferramenta SIEM ativa e integrada?

3.2. 60.3.2. Os logs são centralizados, protegidos e auditáveis?

3.3. 60.3.3. Existe baseline de comportamento para detecção de anomalias?

3.4. 60.3.4. Há plano de resposta a incidentes com procedimentos claros?

4. 60.4. Infraestrutura de Rede e Perímetro

4.1. 60.4.1. Os dispositivos de rede estão com firmware atualizado?

4.2. 60.4.2. O firewall está configurado com regras explícitas de negação?

4.3. 60.4.3. Há segmentação de rede (ex: VLANs, DMZ)?

4.4. 60.4.4. Os pontos de acesso Wi-Fi estão protegidos com WPA2/3 e ocultação de SSID?

5. 60.5. Criptografia e Certificados

5.1. 60.5.1. Dados sensíveis são armazenados e transmitidos com criptografia?

5.2. 60.5.2. Certificados digitais estão válidos e renovados periodicamente?

5.3. 60.5.3. Chaves privadas estão armazenadas com segurança?

5.4. 60.5.4. Existe plano para revogação de certificados comprometidos?

6. 60.6. Backup e Continuidade de Negócios

6.1. 60.6.1. Os backups são realizados de forma regular?

6.2. 60.6.2. As cópias são criptografadas e testadas periodicamente?

6.3. 60.6.3. Existe um plano formal de continuidade e recuperação de desastres?

6.4. 60.6.4. Há definição de sistemas críticos e sua ordem de restauração?

7. 60.7. Segurança Física e Ambiental

7.1. 60.7.1. Há controle de acesso físico aos ambientes críticos?

7.2. 60.7.2. Estão implantados alarmes, sensores, CFTV e controle de visitantes?

7.3. 60.7.3. Existe plano de evacuação e contingência ambiental?

7.4. 60.7.4. Equipamentos críticos possuem redundância elétrica e climática?

8. 60.8. Treinamento e Conscientização

8.1. 60.8.1. A equipe é treinada regularmente sobre segurança da informação?

8.2. 60.8.2. Os treinamentos são adaptados por função e atualizados?

8.3. 60.8.3. Há simulações de phishing e atividades de sensibilização?

8.4. 60.8.4. Os colaboradores conhecem o canal para reporte de incidentes?

9. 60.9. Indicadores e Melhoria Contínua

9.1. 60.9.1. Existem KPIs definidos para segurança (ex: tempo de resposta, incidentes bloqueados)?

9.2. 60.9.2. Os indicadores são reportados periodicamente à alta gestão?

9.3. 60.9.3. A segurança está inclusa na estratégia de negócio?

9.4. 60.9.4. Os relatórios pós-incidente são utilizados para revisão de processos?

10. 60.10. Verificações Finais

10.1. 60.10.1. Todos os ativos estão inventariados e rotulados?

10.2. 60.10.2. Softwares são atualizados regularmente?

10.3. 60.10.3. Existe trilha de auditoria em todos os sistemas críticos?

10.4. 60.10.4. O ambiente passa por auditoria interna/externa regularmente?