Develop Certificate Management Plans
Desenvolver planos detalhados para a gestão de certificados é um processo essencial para garantir a segurança e a confiança nas comunicações digitais da organização.
Este processo envolve a criação de um framework abrangente que define as políticas e procedimentos para a emissão, renovação, revogação e monitoramento de certificados digitais.
Inicialmente, é necessário realizar uma análise das necessidades de certificados da organização, considerando os diferentes tipos de certificados requeridos e suas aplicações específicas.
Em seguida, são estabelecidas as políticas de gestão de certificados, incluindo os critérios para emissão e renovação, os procedimentos para revogação e a implementação de medidas de segurança adequadas para proteger as chaves criptográficas.
O plano também deve contemplar a definição de responsabilidades e a designação de uma autoridade certificadora (CA) interna ou externa.
A documentação detalhada e a comunicação do plano para todas as partes interessadas são cruciais para assegurar a compreensão e a adesão às políticas estabelecidas.
- PDCA focus: Plan
- Periodicidade: Anual
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Conduct Certificate Needs Analysis | Realizar análise das necessidades de certificados da organização. | Dados de requisitos de segurança | Relatório de necessidades de certificados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 2 | Define Certificate Policies | Definir políticas de gestão de certificados com base nas necessidades identificadas. | Relatório de necessidades de certificados | Políticas de gestão de certificados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Architecture & Technology Visioning; Informed: All areas | Decider: Cybersecurity; Advisor: Architecture & Technology Visioning; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 3 | Establish CA and Security Measures | Estabelecer a autoridade certificadora (CA) e as medidas de segurança para proteção das chaves. | Políticas de gestão de certificados | CA estabelecida e medidas de segurança | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 4 | Develop Renewal and Revocation Procedures | Desenvolver procedimentos para renovação e revogação de certificados. | Políticas de gestão de certificados | Procedimentos de renovação e revogação | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 5 | Document and Communicate Plan | Documentar e comunicar o plano de gestão de certificados para todas as partes interessadas. | Procedimentos de renovação e revogação | Plano de gestão de certificados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Identify Certificate Requirements
A identificação dos requisitos para a gestão de certificados é fundamental para garantir que os certificados digitais emitidos atendam às necessidades específicas da organização.
Este processo envolve a coleta de informações sobre os diferentes tipos de certificados necessários, como certificados SSL/TLS, certificados de assinatura de código e certificados de autenticação de usuários.
A colaboração com as diversas áreas da organização é essencial para entender as necessidades específicas de cada departamento e os requisitos de conformidade regulatória.
Com base nessas informações, são definidos os critérios para a emissão de certificados, as políticas de renovação e os procedimentos para a revogação de certificados comprometidos ou expirados.
Este processo também inclui a avaliação das tecnologias de certificados disponíveis e a escolha das soluções mais adequadas para a organização.
- PDCA focus: Plan
- Periodicidade: Semestral
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Gather Certificate Type Information | Coletar informações sobre os diferentes tipos de certificados necessários. | Dados de requisitos de segurança | Relatório de tipos de certificados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 2 | Analyze Departmental Needs | Analisar as necessidades específicas de cada departamento em relação a certificados. | Relatório de tipos de certificados | Relatório de necessidades departamentais | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 3 | Define Issuance Criteria | Definir critérios para a emissão de certificados com base nas necessidades identificadas. | Relatório de necessidades departamentais | Critérios de emissão de certificados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 4 | Establish Renewal Policies | Estabelecer políticas de renovação para garantir a continuidade da validade dos certificados. | Critérios de emissão de certificados | Políticas de renovação de certificados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 5 | Define Revocation Procedures | Definir procedimentos para a revogação de certificados comprometidos ou expirados. | Políticas de renovação de certificados | Procedimentos de revogação | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
Implement Certificate Solutions
A implementação das soluções de gestão de certificados conforme planejado é crucial para assegurar que os sistemas de segurança digital da organização estejam operacionais e eficazes.
Este processo envolve a configuração de uma infraestrutura de chave pública (PKI), a implementação de soluções de gerenciamento de certificados e a integração dessas soluções nos sistemas e aplicativos da organização.
Além disso, é necessário configurar as políticas de emissão e renovação, bem como os procedimentos de revogação, nos sistemas de gerenciamento de certificados.
A realização de testes rigorosos é fundamental para garantir que as soluções de gerenciamento de certificados funcionem corretamente e atendam aos requisitos de segurança da organização.
A documentação completa das implementações realizadas e a comunicação das novas práticas de gestão de certificados para todas as partes interessadas garantem a transparência e a adesão às novas políticas e procedimentos.
- PDCA focus: Do
- Periodicidade: Contínua
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Configure PKI Infrastructure | Configurar a infraestrutura de chave pública (PKI) para suportar a emissão de certificados. | Políticas de emissão e renovação | Infraestrutura PKI configurada | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Implement Certificate Management Systems | Implementar sistemas de gerenciamento de certificados nos ambientes de TI. | Infraestrutura PKI configurada | Sistemas de gerenciamento implementados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Integrate with Applications | Integrar as soluções de gerenciamento de certificados nos sistemas e aplicativos existentes. | Sistemas de gerenciamento implementados | Sistemas integrados com aplicativos | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Conduct Testing | Realizar testes para assegurar a eficácia e a conformidade das soluções implementadas. | Sistemas integrados com aplicativos | Resultados de testes | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 5 | Document and Communicate Implementations | Documentar as implementações realizadas e comunicar as novas práticas para todas as partes interessadas. | Resultados de testes | Documentação de implementações | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Monitor Certificate Performance
O monitoramento contínuo do desempenho da gestão de certificados é vital para assegurar que os certificados digitais estejam sempre válidos, seguros e em conformidade com as políticas estabelecidas.
Este processo envolve a coleta e análise de dados sobre a validade dos certificados, a revisão das políticas de emissão e renovação e a realização de auditorias regulares para verificar a conformidade com as normas de segurança.
Ferramentas de monitoramento em tempo real e sistemas de alerta são implementados para detectar e notificar sobre certificados que estão prestes a expirar ou que foram comprometidos.
A comunicação regular dos resultados do monitoramento e das auditorias para as partes interessadas é essencial para manter a transparência e garantir que todas as ações necessárias sejam tomadas para manter a integridade e a confiabilidade dos certificados digitais.
- PDCA focus: Check
- Periodicidade: Mensal
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Collect Certificate Data | Coletar dados sobre a validade e o status dos certificados digitais. | Dados de certificados | Dados de certificados coletados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Analyze Certificate Metrics | Analisar métricas de desempenho e conformidade dos certificados digitais. | Dados de certificados coletados | Relatórios de análise de métricas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Conduct Certificate Audits | Realizar auditorias regulares para verificar a conformidade com as políticas de segurança. | Relatórios de análise de métricas | Relatórios de auditoria | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Generate Performance Reports | Gerar relatórios de desempenho com base na análise e nas auditorias realizadas. | Relatórios de auditoria | Relatórios de desempenho | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 5 | Communicate Findings | Comunicar as descobertas e recomendações para as partes interessadas. | Relatórios de desempenho | Relatórios comunicados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Review and Improve Certificate Management Processes
A revisão e melhoria contínua dos processos de gestão de certificados são fundamentais para garantir que as práticas de segurança evoluam em resposta a novas ameaças e requisitos organizacionais.
Este processo envolve a análise dos resultados do monitoramento e das auditorias para identificar áreas de melhoria.
As práticas de gestão de certificados são então ajustadas para reforçar a segurança e melhorar a eficiência operacional.
Este processo também inclui a atualização das políticas de gestão de certificados, a realização de treinamentos regulares e a validação das novas práticas de segurança através de testes contínuos.
A otimização contínua garante que a organização esteja sempre preparada para proteger seus ativos contra certificados comprometidos ou expirados.
- PDCA focus: Act
- Periodicidade: Trimestral
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Analyze Audit Findings | Analisar as descobertas das auditorias e do monitoramento de desempenho. | Relatórios de auditoria | Análise de descobertas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Identify Improvement Areas | Identificar áreas de melhoria nos processos de gestão de certificados com base na análise. | Análise de descobertas | Lista de áreas de melhoria | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Update Certificate Policies | Atualizar as políticas de gestão de certificados para incorporar as melhorias identificadas. | Lista de áreas de melhoria | Políticas de gestão atualizadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Conduct Training Sessions | Realizar sessões de treinamento para assegurar que a equipe esteja familiarizada com as políticas atualizadas. | Políticas de gestão atualizadas | Sessões de treinamento realizadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 5 | Validate Security Practices | Validar as práticas de segurança através de testes e auditorias contínuas. | Políticas de gestão atualizadas | Práticas validadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
