29 documentos marcados com "risco"

Identificação, análise e mitigação estruturada de ameaças durante o ciclo de desenvolvimento

🎯 Objetivo

Ameaças mitigadas pelas práticas prescritas neste capítulo de arquitetura segura

Método: Ver Metodologia de Validação de Claims para a baseline empírica dos autores, validação por índices semânticos, ontology backtrace e comparação com fontes externas.

Requisitos mínimos obrigatórios por classificação de criticidade da aplicação

Práticas de segurança para pipelines de integração e entrega contínua, com foco em automação, rastreabilidade e controlo proporcional ao risco

Determinação da criticidade de aplicações para aplicar proporcionalidade nos controlos de segurança

Estratégias para priorizar testes com base no risco e assegurar cobertura eficaz dos requisitos.

Aplicação da classificação de criticidade ao longo do ciclo de vida de desenvolvimento

Práticas como canary releases, blue/green e staged rollout para mitigar risco em deploys críticos.

Especificidades da gestão de excepções no contexto dos requisitos de arquitectura segura (ARC-001..013)

Especificidades da gestão de excepções no contexto dos requisitos aplicacionais do Cap. 02

Os exemplos seguintes ilustram diferentes formas legítimas de classificar aplicações no SbD-ToE, demonstrando:

Porquê Determinação da criticidade de aplicações para aplicar proporcionalidade nos controlos de segurança

Oito indicadores-chave de risco para reporte ao CISO, direcção e board. Foco em exposição a risco e capacidade de resposta, agregando os indicadores técnicos dos domínios SbD-ToE numa leitura executiva accionável.

Indicadores técnicos e de processo para avaliação da qualidade, cobertura e actualidade da classificação de risco de aplicações, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.

O mapeamento de ameaças conhecidas é um mecanismo essencial de validação da análise de risco, garantindo que os riscos identificados refletem vetores de ataque reais, plausíveis e documentados.

Aplicação proporcional dos controlos de monitorização e resposta conforme a classificação de risco da aplicação.

Esta matriz define o patamar mínimo de controlos de segurança esperados, por domínio técnico, em função do nível de risco da aplicação (L1–L3), conforme determinado no Capítulo 01.

🎯 Objetivo

A adoção eficaz do Capítulo 01 - Gestão de Risco - exige a existência de políticas organizacionais formais que enquadrem, legitimem e sustentem a aplicação das práticas descritas neste capítulo.

Política organizacional que define o modelo obrigatório de classificação de risco por eixos (Exposição, Dados, Impacto), os momentos de aplicação, os critérios de revisão e os requisitos de registo formal, para todas as aplicações desenvolvidas ou operadas pela organização.

Política organizacional que define a cadência obrigatória e os triggers de revisão da classificação de risco aplicacional, assegurando que o nível de criticidade e os controlos associados se mantêm adequados ao contexto técnico e de negócio ao longo de todo o ciclo de vida da aplicação.

Definição de políticas automáticas no pipeline com gates de segurança que variam segundo o nível de risco da aplicação.

Processo formal, transversal e autoritário de gestão de excepções a requisitos e controlos de segurança no SbD-ToE

Rastreabilidade das práticas de classificação de risco face a frameworks normativos com pilot formal

Este anexo apresenta práticas não obrigatórias, mas altamente recomendadas para organizações que pretendam alcançar níveis mais elevados de maturidade e auditabilidade na gestão de risco aplicada ao ciclo de vida de software.

Riscos introduzidos pela automação pervasiva no pipeline de CI/CD e respetivas medidas de controlo, validação e evidência

Caminho formativo adaptado ao nível de risco (L1–L3) e ao perfil técnico de cada colaborador.