Controle 5.17 – Authentication Information (ISO/IEC 27001:2022)

Este formulário avalia o nível de maturidade de práticas relacionadas à proteção de credenciais, autenticação e monitoramento.

Escala: 0 (Inexistente) a 5 (Baseado em Risco).

Deep Dive de Maturidade

1) Gestão de Credenciais

Critério	Pontuação
Política e padrões mínimos de credenciais
Processo de criação/alteração/reset com validação adequada
Tratamento de contas genéricas e credenciais de serviço
Armazenamento e manuseio de segredos (vault, variáveis seguras, etc.)

2) Autenticação e MFA

Critério	Pontuação
Aplicação de MFA para acessos críticos e privilegiados
Padronização da autenticação por criticidade
Requisitos para acesso remoto e ambientes sensíveis
Resistência a brute force, credential stuffing e MFA fatigue

3) Proteção e Monitoramento

Critério	Pontuação
Proteção criptográfica de credenciais e segredos
Bloqueio, rate limiting e detecção de tentativas anômalas
Logs e trilhas de auditoria sobre autenticação
Indicadores operacionais de governança

Média Geral

0.00

Classificação

Inexistente

FAQ – Controle 5.17 (Authentication Information)

1) O que exatamente está sendo medido neste módulo?
O módulo mede maturidade de governança e execução relacionada à proteção de credenciais e autenticação, avaliando se a organização possui práticas consistentes, rastreáveis e proporcionais ao risco para gestão de credenciais, uso de MFA e monitoramento de autenticação.

2) Por que “maturidade” é diferente de “ter MFA ligado”?
MFA é um mecanismo. Maturidade inclui:

política e critérios por criticidade,
processos de reset e exceções controladas,
cobertura consistente em sistemas críticos,
evidências e rastreabilidade,
monitoramento e resposta a anomalias.

Ou seja, maturidade considera o controle como um sistema de gestão, não um item isolado.

3) Como lidar com contas técnicas/serviço sem expor credenciais?
O ponto central é reduzir a dependência de credenciais estáticas e tornar o uso auditável:

ownership formal,
armazenamento seguro de segredos,
rotação quando aplicável,
segregação e escopo mínimo,
logging e trilha de auditoria do uso.

O objetivo é manter continuidade operacional sem perder governança e rastreabilidade.

4) Qual a diferença prática entre Nível 3 (Padronizado) e Nível 4 (Automatizado)?

Nível 3: processos são consistentes e replicáveis, porém podem depender de execução manual e controles por amostragem.
Nível 4: controles passam a ser aplicados/validados por ferramentas e fluxos (ex.: enforcement de MFA, políticas centralizadas, evidências geradas automaticamente), reduzindo variabilidade e aumentando confiabilidade.

5) Como este controle se conecta a governança e auditoria?
A proteção de credenciais impacta diretamente:

rastreabilidade (accountability) e trilha de auditoria,
segregação de funções e responsabilidade individual,
eficácia de controles de acesso,
evidências de conformidade.

Em termos de auditoria, credenciais fracas ou compartilhadas reduzem a confiança na atribuição de ações a indivíduos e aumentam risco operacional e regulatório.