Assessment 2026 v0.15

Qriar IAM Security Framework Avaliação de Maturidade

Score: 2.76
18/03/2026

Pergunta: Como é aplicado o MFA para administradores e quais fatores são permitidos?

Justificativa: Elimina vetor de credencial roubada e bypass de MFA simples.

0 1 2 3 4 5
Nível 4 - Gerenciado: App + Number Matching obrigatório.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Apenas Senha ou SMS.
2 Repetível: MFA obrigatório, mas permite SMS/Voz.
3 Definido: App Authenticator (Push) obrigatório.
4 Gerenciado: App + Number Matching obrigatório.
5 Otimizado: FIDO2/CBA (Hardware Key) estrito.
Riscos Associados
RISK-001 RISK-011 RISK-012 RISK-013
Mapeamentos
A.5.17 A.8.5 PR.AA-03 6.4 Art. 46 Cap. 5.4 5.1 PA.2.2

Pergunta: Qual a cobertura de MFA para usuários padrão e existe proteção contra fadiga?

Justificativa: Previne aprovação acidental de acessos fraudulentos.

0 1 2 3 4 5
Nível 3 - Definido: 100% cobertura (App/Push).
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Parcial (<50%) ou SMS.
2 Repetível: 100% de cobertura, permite SMS.
3 Definido: 100% cobertura (App/Push).
4 Gerenciado: 100% + Number Matching + Bloqueio SMS.
5 Otimizado: 100% + Risco em Tempo Real (Identity Protection).
Riscos Associados
RISK-001
Mapeamentos
A.8.5 PR.AA-03 6.3 Art. 46 Cap. 5.4 5.1 UM.2.2

Pergunta: Como o sistema reage a múltiplas falhas de senha (Brute Force)?

Justificativa: Evita DoS interno enquanto bloqueia ataques de força bruta.

0 1 2 3 4 5
Nível 2 - Repetível: Política de bloqueio definida, desbloqueio manual.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Bloqueio simples (Gera DoS) ou inexistente.
2 Repetível: Política de bloqueio definida, desbloqueio manual.
3 Definido: Bloqueio manual e processo de desbloqueio via Helpdesk.
4 Gerenciado: Smart Lockout em modo Audit (Log only).
5 Otimizado: Smart Lockout Ativo (Analisa IP/Risco).
Mapeamentos
A.8.5 A.8.3 PR.AA-01 PR.AA-04 6.2 Art. 46 Cap. 5.4 UM.2.1

Pergunta: Existe verificação de senhas banidas em tempo real?

Justificativa: Bloqueia senhas fracas conhecidas antes de serem definidas.

0 1 2 3 4 5
Nível 3 - Definido: Lista de senhas banidas personalizada.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Nenhuma verificação.
2 Repetível: Política de complexidade básica.
3 Definido: Lista de senhas banidas personalizada.
4 Gerenciado: Integração com listas globais (pwned).
5 Otimizado: Verificação em tempo real + dicionário corporativo.
Mapeamentos
A.5.17 PR.AA-01 5.2 Art. 6 Cap. 5.4 5.2 UM.2.1

Pergunta: Como são geridas as credenciais de Contas de Serviço (Non-human)?

Justificativa: Evita persistência de acesso via contas não-humanas esquecidas.

0 1 2 3 4 5
Nível 2 - Repetível: Rotação manual ad-hoc (quando quebra).
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Senhas estáticas/Nunca expiram.
2 Repetível: Rotação manual ad-hoc (quando quebra).
3 Definido: Rotação manual periódica (Planilha de controle).
4 Gerenciado: Rotação automatizada via Scripts/DevOps.
5 Otimizado: Workload Identity ou Cofre PAM (Zero Trust).
Riscos Associados
RISK-007
Mapeamentos
A.5.16 A.8.2 PR.AA-02 4.7 6.6 Art. 32 Cap. 5.4 Cap. 5.5 5.3 TS.1.3

Pergunta: É exigida re-autenticação para ações críticas?

Justificativa: Mitiga sequestro de sessão (Session Hijacking).

0 1 2 3 4 5
Nível 2 - Repetível: Re-autenticação apenas para reset de senha.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Nenhuma re-autenticação.
2 Repetível: Re-autenticação apenas para reset de senha.
3 Definido: Re-autenticação para algumas ações críticas.
4 Gerenciado: Re-autenticação para todas as ações sensíveis.
5 Otimizado: Step-up Authentication baseado em risco.
Mapeamentos
A.8.5 PR.AA-04 16.11 Art. 37 Cap. 5.4 UM.2.3

Pergunta: Os protocolos de autenticação legados (POP3/IMAP/SMTP) estão bloqueados?

Justificativa: Fecha a porta para Password Spraying que ignora MFA.

0 1 2 3 4 5
Nível 3 - Definido: Bloqueio parcial ou por exceção manual.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Protocolos (POP3/IMAP) ativos.
2 Repetível: Bloqueio apenas para novos usuários.
3 Definido: Bloqueio parcial ou por exceção manual.
4 Gerenciado: Bloqueio Global com exceções monitoradas.
5 Otimizado: Bloqueio Global forçado no Tenant (Sem exceção).
Riscos Associados
RISK-006
Mapeamentos
A.8.5 A.5.15 PR.AA-05 4.8 Art. 46 Cap. 5.4 TS.2.1

Pergunta: Como ocorre a criação de contas para novos colaboradores (Joiners)?

Justificativa: Garante privilégio mínimo desde o dia zero (Zero Day Start).

0 1 2 3 4 5
Nível 5 - Otimizado: Automático (Zero Touch) via API RH -> IDP.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Manual (Ticket/E-mail/Telefone).
2 Repetível: Formulário padrão (E-mail), execução manual.
3 Definido: Processo via ITSM (Ticket), execução manual.
4 Gerenciado: Scriptado (Powershell) disparado por ticket.
5 Otimizado: Automático (Zero Touch) via API RH -> IDP.
Mapeamentos
A.5.16 A.5.18 PR.AA-01 PR.AA-05 5.1 6.1 Art. 6 Cap. 5.5 Cap. 6.1 4.3 IM.2.1

Pergunta: O que acontece com os acessos quando um funcionário muda de cargo?

Justificativa: Combate acumulação de privilégios (privilege creep).

0 1 2 3 4 5
Nível 4 - Gerenciado: Gatilho automático gera tarefa de revisão.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Acessos acumulam (Privilege Creep).
2 Repetível: Revisão manual ad-hoc pelo gestor.
3 Definido: Revisão manual obrigatória via Ticket.
4 Gerenciado: Gatilho automático gera tarefa de revisão.
5 Otimizado: Recertificação automática baseada em regras de negócio.
Riscos Associados
RISK-002 RISK-010
Mapeamentos
A.5.18 A.8.4 PR.AA-05 6.5 Art. 46 Cap. 1.6 Cap. 5.5 4.1 IM.2.2

Pergunta: Qual o tempo médio entre a demissão no RH e o bloqueio técnico efetivo?

Justificativa: Fecha janela de risco de exfiltração por ex-funcionários.

0 1 2 3 4 5
Nível 3 - Definido: Manual (No mesmo dia - Obrigatório).
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Manual (>24h após saída).
2 Repetível: Manual (No mesmo dia - Best effort).
3 Definido: Manual (No mesmo dia - Obrigatório).
4 Gerenciado: Scriptado (Batch noturno).
5 Otimizado: Tempo Real (<1 hora) via sinal do RH.
Riscos Associados
RISK-003
Mapeamentos
A.5.16 A.8.5 PR.AA-01 6.5 Art. 50 Cap. 6.1 Cap. 6.3.2 4.2 IM.2.3

Pergunta: Com que frequência os acessos são revisados pelos gestores (Access Review)?

Justificativa: Remove acessos 'zumbis' e não utilizados.

0 1 2 3 4 5
Nível 3 - Definido: Anual (Todos) via Planilha Excel.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Nunca ou Ad-hoc.
2 Repetível: Revisão apenas de Admins (Manual).
3 Definido: Anual (Todos) via Planilha Excel.
4 Gerenciado: Semestral via Ferramenta de IGA.
5 Otimizado: Trimestral via Ferramenta IGA c/ revogação auto.
Riscos Associados
RISK-002
Mapeamentos
A.5.18 PR.AA-01 6.8 Art. 5 Cap. 5.5 Cap. 1.6 4.3 IM.3.1

Pergunta: Existe processo para identificar contas órfãs (TI vs RH)?

Justificativa: Identifica Shadow IT e falhas no processo de desligamento.

0 1 2 3 4 5
Nível 4 - Gerenciado: Script semanal de reconciliação.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Nenhuma verificação.
2 Repetível: Verificação manual anual.
3 Definido: Comparação manual mensal (Vlookup).
4 Gerenciado: Script semanal de reconciliação.
5 Otimizado: Reconciliação diária automática c/ alerta.
Riscos Associados
RISK-003
Mapeamentos
A.5.16 ID.AM-01 5.3 Art. 37 Cap. 5.5 Cap. 6.3.2 IM.3.2

Pergunta: Contas de convidados (B2B) possuem prazo de validade?

Justificativa: Evita acesso eterno de fornecedores após fim de contrato.

0 1 2 3 4 5
Nível 5 - Otimizado: TTL baseado em contrato + revisão do sponsor.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Sem prazo de validade.
2 Repetível: Validade anual manual.
3 Definido: Validade semestral com revisão manual.
4 Gerenciado: TTL automático (90 dias) com renovação.
5 Otimizado: TTL baseado em contrato + revisão do sponsor.
Mapeamentos
A.5.19 A.5.21 ID.RA-03 6.7 Art. 39 Cap. 5.5 IM.2.4

Pergunta: Os logs de identidade são centralizados e retidos por quanto tempo?

Justificativa: Permite correlação de eventos e perícia forense.

0 1 2 3 4 5
Nível 1 - Inicial: Sem logs ou <7 dias.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Sem logs ou <7 dias.
2 Repetível: Logs no portal (30 dias).
3 Definido: Backup manual esporádico para Storage.
4 Gerenciado: SIEM Centralizado (Ingestão básica).
5 Otimizado: SIEM Otimizado + Retenção >1 ano + Parsers.
Riscos Associados
RISK-005 RISK-009
Mapeamentos
A.8.15 A.5.33 DE.AE-02 8.2 8.10 Art. 37 Princ. 2 Cap. 5.6 7.1 SM.1.1

Pergunta: O sistema bloqueia automaticamente logins baseados em risco (ex: Viagem Impossível)?

Justificativa: Resposta dinâmica a ameaças (ex: Tor, Viagem Impossível).

0 1 2 3 4 5
Nível 1 - Inicial: Nenhum monitoramento.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Nenhum monitoramento.
2 Repetível: Reativo (Check esporádico).
3 Definido: Alerta por e-mail (Investigação humana).
4 Gerenciado: Alerta integrado ao Ticket (SOAR).
5 Otimizado: Remediação Automática (Bloqueio/MFA no login).
Riscos Associados
RISK-005 RISK-009
Mapeamentos
A.8.16 A.8.5 DE.AE-06 5.2 Art. 46 Cap. 5.4 Cap. 5.6 SM.2.2

Pergunta: Existe controle sobre consentimento de Apps OAuth?

Justificativa: Mitiga roubo de dados via tokens de aplicação maliciosa.

0 1 2 3 4 5
Nível 1 - Inicial: Instalação livre.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Instalação livre.
2 Repetível: Bloqueio reativo após incidente.
3 Definido: Aprovação manual pelo Admin (Workflow).
4 Gerenciado: Política de bloqueio baseada em permissão.
5 Otimizado: Monitorização de Consentimento + Auto-remediação.
Riscos Associados
RISK-008
Mapeamentos
A.8.23 A.5.23 DE.CM-06 13.6 Art. 6 Cap. 5.6 Cap. 6.3.2 7.2 BA.2.2

Pergunta: Quão rápido a segurança é notificada sobre alterações em grupos de Admin Global?

Justificativa: Deteção imediata de persistência/backdoors privilegiados.

0 1 2 3 4 5
Nível 3 - Definido: Relatório diário de mudanças.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Sem alertas.
2 Repetível: Análise de log mensal.
3 Definido: Relatório diário de mudanças.
4 Gerenciado: Alerta e-mail (Near real-time).
5 Otimizado: Alerta Imediato (P1) Webhook/SMS/Call.
Riscos Associados
RISK-005
Mapeamentos
A.8.2 A.6.8 DE.AE-04 5.4 Art. 33 Cap. 5.6 6.3 SM.2.1

Pergunta: Existe monitoramento de anomalias em identidades de máquina?

Justificativa: Detecta comprometimento de identidades de máquina.

0 1 2 3 4 5
Nível 2 - Repetível: Revisão manual ocasional.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Nenhum monitoramento.
2 Repetível: Revisão manual ocasional.
3 Definido: Baseline manual de comportamento.
4 Gerenciado: UEBA básico para Service Principals.
5 Otimizado: UEBA avançado com auto-remediação.
Riscos Associados
RISK-007
Mapeamentos
A.8.16 A.5.2 DE.AE-07 6.6 Art. 46 Cap. 5.6 5.3 SM.2.3

Pergunta: Feedback de MFA do usuário gera incidente de segurança?

Justificativa: Usa o funcionário como sensor de detecção precoce.

0 1 2 3 4 5
Nível 4 - Gerenciado: Feedback gera alerta para SOC.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Sem feedback disponível.
2 Repetível: Feedback disponível, não monitorado.
3 Definido: Feedback gera log para revisão.
4 Gerenciado: Feedback gera alerta para SOC.
5 Otimizado: Feedback gera incidente P1 + bloqueio automático.
Mapeamentos
A.6.3 A.6.8 DE.DP-04 14.2 Art. 48 Cap. 5.6 Cap. 6.1 SM.3.1

Pergunta: Os administradores possuem acesso privilegiado permanente ('Standing Access')?

Justificativa: Reduz drasticamente a superfície de ataque de contas admin.

0 1 2 3 4 5
Nível 1 - Inicial: Admin Permanente (24/7).
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Admin Permanente (24/7).
2 Repetível: Processo manual de solicitação (E-mail).
3 Definido: JIT Manual (Ticket aprovado à mão).
4 Gerenciado: JIT via Grupo AD (Adição/Remoção manual).
5 Otimizado: JIT Automatizado (PIM/PAM Self-service).
Riscos Associados
RISK-001 RISK-009
Mapeamentos
A.8.2 A.5.18 PR.AA-05 5.4 Art. 46 Princ. 4 Cap. 5.4 6.2 PA.1.2

Pergunta: Administradores usam contas separadas para e-mail e administração?

Justificativa: Isola credencial admin de vetores de phishing no e-mail.

0 1 2 3 4 5
Nível 3 - Definido: Contas separadas, acessadas do mesmo PC.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Mesma conta e-mail/admin.
2 Repetível: Contas separadas, gestão de senha fraca.
3 Definido: Contas separadas, acessadas do mesmo PC.
4 Gerenciado: Contas Cloud-Only, MFA forte.
5 Otimizado: Contas Cloud-Only, Isoladas e monitoradas.
Riscos Associados
RISK-001 RISK-010
Mapeamentos
A.8.2 PR.AA-05 5.4 Art. 46 Cap. 1.6 Cap. 5.5 6.1 PA.1.1

Pergunta: Como é gerenciada a senha de Administrador Local das estações?

Justificativa: Impede movimentação lateral via hash/senha compartilhada.

0 1 2 3 4 5
Nível 4 - Gerenciado: LAPS em 100% com auditoria de uso.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Senha única igual (Shared).
2 Repetível: Senhas diferentes (Excel/KeePass).
3 Definido: LAPS implantado em parte do parque.
4 Gerenciado: LAPS em 100% com auditoria de uso.
5 Otimizado: LAPS (Cloud/Intune) rotação automática pós-uso.
Riscos Associados
RISK-004
Mapeamentos
A.8.1 A.8.2 PR.AA-01 5.5 Art. 32 Cap. 5.5 PA.2.1

Pergunta: Existe segregação técnica impedindo Admins de Domínio de logar em estações comuns?

Justificativa: Protege credenciais críticas contra roubo de memória (Mimikatz).

0 1 2 3 4 5
Nível 1 - Inicial: Logon cruzado livre.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Logon cruzado livre.
2 Repetível: Recomendação verbal 'Não logue'.
3 Definido: Política escrita e auditada manualmente.
4 Gerenciado: Bloqueio Técnico (GPO) parcial/learning.
5 Otimizado: Bloqueio Técnico Estrito (Auth Policies).
Riscos Associados
RISK-004 RISK-010
Mapeamentos
A.8.12 A.5.15 PR.AC-03 5.4 Art. 46 Cap. 1.6 Cap. 5.5 PA.2.3

Pergunta: Existem contas de emergência (Break Glass) configuradas corretamente?

Justificativa: Garante recuperação do tenant em falhas catastróficas.

0 1 2 3 4 5
Nível 1 - Inicial: Não existem.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: Não existem.
2 Repetível: 1 conta (uso diário se precisar).
3 Definido: 1 conta (gaveta do gestor/cofre).
4 Gerenciado: 2 contas cloud-only, alertas configurados.
5 Otimizado: 2 contas monitoradas, cofre físico, senha complexa.
Mapeamentos
A.5.2 A.8.2 ID.RA-03 4.3 Art. 48 Cap. 5.4 6.3 PA.1.4

Pergunta: Administradores usam estações dedicadas (PAW) para gestão?

Justificativa: Isola gestão de malwares presentes em estações de usuário.

0 1 2 3 4 5
Nível 4 - Gerenciado: PAW físico apenas para Tier 0.
Formatos aceitos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, TXT, CSV, PNG, JPG, GIF, MP4, AVI, MOV, MP3, WAV (máx. 50MB)
Níveis de Maturidade
1 Inicial: PC padrão corporativo.
2 Repetível: PC padrão com usuário separado.
3 Definido: VM dedicada (Jump Server) via PC padrão.
4 Gerenciado: PAW físico apenas para Tier 0.
5 Otimizado: PAW/SAW Estrito para toda gestão crítica.
Mapeamentos
A.8.1 A.8.11 PR.AA-02 4.2 Art. 32 Cap. 5.5 PA.2.4