23 documentos marcados com "risco"

Identificação, análise e mitigação estruturada de ameaças durante o ciclo de desenvolvimento

🎯 Objetivo

Ameaças mitigadas pelas práticas prescritas neste capítulo de arquitetura segura

Este capítulo não define controlos técnicos diretos, mas estabelece a estrutura de decisão que governa a aplicação proporcional e justificada de segurança em software. A ausência desta estrutura gera múltiplas ameaças - técnicas, organizacionais e processuais.

Requisitos mínimos obrigatórios por classificação de criticidade da aplicação

Práticas de segurança para pipelines de integração e entrega contínua, com foco em automação, rastreabilidade e controlo proporcional ao risco

Determinação da criticidade de aplicações para aplicar proporcionalidade nos controlos de segurança

Estratégias para priorizar testes com base no risco e assegurar cobertura eficaz dos requisitos.

Aplicação da classificação de criticidade ao longo do ciclo de vida de desenvolvimento

Práticas como canary releases, blue/green e staged rollout para mitigar risco em deploys críticos.

Os exemplos seguintes ilustram diferentes formas legítimas de classificar aplicações no SbD-ToE, demonstrando:

Processo formal de exceção e aceitação de risco associado a requisitos

Porquê Determinação da criticidade de aplicações para aplicar proporcionalidade nos controlos de segurança

Mecanismos formais para registar, aprovar e controlar exceções às regras de segurança durante o desenvolvimento

O mapeamento de ameaças conhecidas é um mecanismo essencial de validação da análise de risco, garantindo que os riscos identificados refletem vetores de ataque reais, plausíveis e documentados.

Aplicação proporcional dos controlos de monitorização e resposta conforme a classificação de risco da aplicação.

Esta matriz define o patamar mínimo de controlos de segurança esperados, por domínio técnico, em função do nível de risco da aplicação (L1–L3), conforme determinado no Capítulo 01.

🎯 Objetivo

A adoção eficaz do Capítulo 01 - Gestão de Risco - exige a existência de políticas organizacionais formais que enquadrem, legitimem e sustentem a aplicação das práticas descritas neste capítulo.

Definição de políticas automáticas no pipeline com gates de segurança que variam segundo o nível de risco da aplicação.

Este anexo apresenta práticas não obrigatórias, mas altamente recomendadas para organizações que pretendam alcançar níveis mais elevados de maturidade e auditabilidade na gestão de risco aplicada ao ciclo de vida de software.

Riscos introduzidos pela automação pervasiva no pipeline de CI/CD e respetivas medidas de controlo, validação e evidência

Caminho formativo adaptado ao nível de risco (L1–L3) e ao perfil técnico de cada colaborador.