Patterns / NIST / Executive Overview
NIST

NIST

Compliance standard for information security.

Total Requirements
14
defined requirements
Mapped Controls
27
control mappings
Overall Compliance
70.4%
19/27 controls compliant
Related Risks
13
9 critical · 3 high

Compliance by Framework

Qriar IAM Security Framework
27 mapped controls
Assessment: Assessment 2026 v0.10
19 Compliant 8 Partial 0 Non-Compliant

Compliance Trend

Requirements Coverage

ID.AM-01 Inventário de Ativos
1 controls
Dispositivos físicos e sistemas dentro da organização são inventariados.
ID Description Reference
JML-005 Deteção de contas órfãs (Reconciliação): Comparar AD vs. RH semanalmente para ac... ID.AM-01
ID.RA-03 Ameaças Internas e Externas
2 controls
Ameaças, tanto internas quanto externas, são identificadas e documentadas.
ID Description Reference
JML-006 Prazo de validade (TTL) rígido para contas de convidados (B2B), exigindo renovaç... ID.RA-03
PAM-005 2 contas de Emergência (Break Glass) monitoradas, cloud-only, fora do MFA e com ... ID.RA-03
PR.AA-01 Gestão de Identidades
6 controls
Identidades e credenciais são emitidas, gerenciadas, verificadas, revogadas e auditadas para dispositivos, usuários e processos autorizados.
ID Description Reference
AUTH-003 Configurar Smart Lockout: Bloquear ator da ameaça (IP), não a conta do usuário (... PR.AA-01
AUTH-004 Verificação de senhas banidas em tempo real contra listas globais (pwned) e dici... PR.AA-01
JML-001 Automatizar aprovisionamento 'Birthright' via RH, criando contas desativadas até... PR.AA-01
JML-003 Automatizar 'Kill Switch' de saída: Bloqueio e revogação de tokens em <15 min ap... PR.AA-01
JML-004 Campanhas trimestrais de Certificação de Acesso com revogação automática se não ... PR.AA-01
PAM-003 Remover Admin Local e usar LAPS para senhas únicas e rotacionadas por estação. PR.AA-01
PR.AA-02 Credenciais de Acesso Físico
2 controls
O acesso físico a ativos é gerenciado, monitorado e aplicado.
ID Description Reference
AUTH-005 Bloquear login interativo e rotacionar segredos de Contas de Serviço a cada 90 d... PR.AA-02
PAM-006 Exigir Estações de Acesso Privilegiado (PAW) dedicadas para acessar consoles de ... PR.AA-02
PR.AA-03 Autenticação de Usuários
2 controls
Usuários, dispositivos e outros ativos são autenticados proporcionalmente ao risco da transação.
ID Description Reference
AUTH-002 Impor MFA para todos os usuários com Number Matching para mitigar fadiga de MFA. PR.AA-03
AUTH-001 Impor MFA Resistente a Phishing (FIDO2/CBA) para todas as contas administrativas... PR.AA-03
PR.AA-04 Proteção de Mecanismo de Autenticação
2 controls
Mecanismos de identidade e autenticação são protegidos e estão vinculados a identidades individuais.
ID Description Reference
AUTH-003 Configurar Smart Lockout: Bloquear ator da ameaça (IP), não a conta do usuário (... PR.AA-04
AUTH-006 Forçar re-autenticação para ações críticas (ex: ver dados sensíveis) independent... PR.AA-04
PR.AA-05 Gestão de Privilégios
5 controls
Permissões de acesso, direitos e autorizações são definidos, gerenciados, aplicados e revisados, e incorporam os princípios de menor privilégio e separação de funções.
ID Description Reference
AUTH-007 Desabilitar protocolos legados (Basic Auth: POP3, IMAP, SMTP) globalmente. PR.AA-05
JML-001 Automatizar aprovisionamento 'Birthright' via RH, criando contas desativadas até... PR.AA-05
JML-002 Gatilho de revisão em transferências: Mudança de cargo no RH inicia recertificaç... PR.AA-05
PAM-001 Eliminar privilégios permanentes (Zero Standing Privileges). Acesso Admin apenas... PR.AA-05
PAM-002 Separar contas: adm-user (sem email/web) para gestão e user para uso diário. PR.AA-05
PR.AC-03 Acesso Remoto
1 controls
O acesso remoto é gerenciado.
ID Description Reference
PAM-004 Implementar Modelo de Camadas (Tiering/Red Forest): Admins Tier 0 nunca logan em... PR.AC-03
DE.AE-02 Análise de Eventos
1 controls
Eventos detectados são analisados para entender métodos e alvos de ataque.
ID Description Reference
MON-001 Centralizar Logs de Auditoria/Sign-in em SIEM. Retenção: 90 dias (quente) / 365 ... DE.AE-02
DE.AE-04 Impacto de Eventos
1 controls
O impacto de eventos é determinado.
ID Description Reference
MON-004 Alertas P1 para mudanças em grupos Tier 0 (Global/Domain Admins) com notificação... DE.AE-04
DE.AE-06 Correlação de Eventos
1 controls
Informações sobre eventos detectados são correlacionadas com outras fontes de informação.
ID Description Reference
MON-002 Bloqueio automático baseado em Risco (User/Sign-in Risk) para eventos de alto ri... DE.AE-06
DE.AE-07 Análise de Comportamento
1 controls
Informações do monitoramento são correlacionadas com dados de análise de comportamento de entidades e usuários (UEBA).
ID Description Reference
MON-005 Monitorizar anomalias em Service Principals (volume de leitura, IPs novos, horár... DE.AE-07
DE.CM-06 Monitoramento de Atividades de Pessoal
1 controls
A atividade de pessoal externo é monitorada para detectar potenciais eventos de segurança cibernética.
ID Description Reference
MON-003 Alertar consentimentos de Apps OAuth ilícitas ou de alto privilégio não verifica... DE.CM-06
DE.DP-04 Comunicação de Detecção de Eventos
1 controls
Informações de detecção de eventos são comunicadas.
ID Description Reference
MON-006 Feedback do usuário ('Não fui eu') no MFA gera incidente de segurança imediato n... DE.DP-04

Risk Exposure

Risk ID Title Severity Status
RISK-001 Comprometimento de Credenciais Administrativas Critical Mitigating
RISK-008 Aplicações OAuth Maliciosas High Open
RISK-003 Exfiltração de Dados por Ex-Funcionários Critical Open
RISK-002 Acumulação de Privilégios (Privilege Creep) Critical Open
RISK-005 Falta de Visibilidade em Atividades Suspeitas Critical Open
RISK-013 Bypass de MFA via protocolos legados e fluxos não cobertos Critical Open
RISK-010 Conflito de Interesses por Acessos Privilegiados Critical Open
RISK-007 Comprometimento de Contas de Serviço Critical Open
RISK-009 Falha na Prestação de Contas (Accountability) Critical Open
RISK-006 Bypass de MFA via Protocolos Legados High Open
RISK-011 Fraquezas na federação e acesso de terceiros com MFA inadequ... High Open
RISK-012 Indisponibilidade operacional por falhas de MFA/IdP ou perda... Medium Open
RISK-004 Movimentação Lateral via Admin Local Critical Open
Risk Distribution

Educational Content

Standard Overview

Compliance standard for information security.

How Compliance is Calculated

Compliance is calculated based on the maturity level of each control mapped to this standard. Controls with maturity level 3 or above are considered compliant. The overall compliance percentage represents the ratio of compliant controls to total mapped controls.

  • Compliant: Maturity level 3 or above
  • Partial: Maturity level 1-2
  • Non-compliant: Maturity level 0 (not implemented)
Best Practices for Implementation
  1. Conduct a gap analysis to identify areas needing improvement
  2. Prioritize controls based on risk assessment results
  3. Establish clear ownership and accountability for each control
  4. Implement continuous monitoring and regular reviews
  5. Document evidence of compliance for audit readiness
  6. Train staff on security awareness and standard requirements
Back to Standards View Requirements