✅ Checklist de Revisão Periódica - Formação e Onboarding Seguro
Este checklist aplica-se a todos os colaboradores técnicos, internos ou externos, com impacto direto no desenvolvimento, operação ou manutenção de software.
Permite avaliar de forma binária, objetiva e rastreável a adoção prática das prescrições do Capítulo 13 - Formação e Onboarding Seguro.
🛠️ Este mecanismo de controlo é essencial para validar a formação proporcional ao risco, a validação técnica antes de permissões, a gestão de terceiros e a existência de cultura ativa de segurança.
📋 Itens de Verificação
| Item | Verificado? |
|---|---|
| Existe um trilho formativo definido por perfil funcional e criticidade da aplicação (L1–L2–L3) | ☐ |
| O trilho foi atribuído ao colaborador antes de iniciar atividades técnicas | ☐ |
| O colaborador completou o onboarding técnico antes de obter permissões em ambientes críticos | ☐ |
| Existe validação formal da formação: quiz, checklist de PR ou revisão supervisionada | ☐ |
| Os critérios de validação incluem limiares objetivos (ex: 80% no quiz, PR com tags de segurança, etc.) | ☐ |
| O registo do onboarding técnico está arquivado em repositório institucional (Git, LMS, SharePoint, etc.) | ☐ |
| Acesso técnico está condicionado à conclusão do processo de onboarding validado | ☐ |
| Existe processo formal e equivalente de onboarding para terceiros, fornecedores e contractors | ☐ |
| Os terceiros assinam termo de responsabilidade e recebem formação mínima antes de permissões | ☐ |
| A rastreabilidade da formação de terceiros inclui nome, entidade, data e validação | ☐ |
| Existe mecanismo de formação contínua e reforço técnico (ex: PR Clinics, war rooms, sessões técnicas) | ☐ |
| Existe repositório de boas práticas de revisão de PR e exemplos de código seguro | ☐ |
| A equipa tem acesso a um manual de formação por capítulo do SbD-ToE, com exemplos e artefactos | ☐ |
| Existe canal formal de apoio e esclarecimento durante o processo de onboarding | ☐ |
| Os materiais de formação são versionados, atualizados e integrados com lessons learned de incidentes | ☐ |
| A organização monitoriza KPIs de formação e onboarding por equipa, função ou fornecedor | ☐ |
| Incidentes de segurança relevantes resultam em atualização dos conteúdos formativos | ☐ |
🔄 Integração Operacional
- Este checklist pode ser integrado em fluxos de onboarding, revisões de permissões, PRs iniciais, auditorias internas ou ciclos de segurança trimestrais.
- A verificação deve ser baseada em evidência concreta: quizzes, comentários de PR, registos de LMS ou anexos a tickets.
- Os dados podem ser agregados por projeto, equipa ou fornecedor, alimentando dashboards e relatórios de segurança.
⚠️ Práticas não cumpridas devem ter justificação formal documentada, aprovada por AppSec, GRC ou gestão técnica (waiver ou exceção temporária).
✅ Conformidade e KPI
- Este checklist permite declarar conformidade com as práticas do Capítulo 13 de forma audível e mensurável.
- O número de respostas afirmativas pode ser utilizado como indicador de maturidade da organização em segurança baseada em capacitação.
- Os dados gerados devem ser incluídos em planos de melhoria contínua, auditorias de ciclo de vida e objetivos de qualidade técnica.
📌 Este mecanismo assegura que a formação é aplicada, validada e rastreada, sendo uma componente estruturante da segurança organizacional no modelo SbD-ToE.