Patterns / IBGC / Executive Overview
IBGC

IBGC

Compliance standard for information security.

Total Requirements
10
defined requirements
Mapped Controls
38
control mappings
Overall Compliance
60.5%
23/38 controls compliant
Related Risks
13
9 critical · 3 high

Compliance by Framework

Qriar IAM Security Framework
38 mapped controls
Assessment: Assessment 2026 v0.10
23 Compliant 15 Partial 0 Non-Compliant

Compliance Trend

Requirements Coverage

Princ. 1 Integridade
Not mapped
É a prática de agir com probidade, boa-fé e retidão, buscando alinhar comportamentos e ações ao propósito, valores, princípios e estratégia da organização.
No controls mapped to this requirement
Princ. 2 Transparência
1 controls
Consiste no desejo de disponibilizar para as partes interessadas as informações que sejam de seu interesse e não apenas aquelas impostas por disposições de leis ou regulamentos.
ID Description Reference
MON-001 Centralizar Logs de Auditoria/Sign-in em SIEM. Retenção: 90 dias (quente) / 365 ... Princ. 2
Princ. 3 Equidade
Not mapped
Caracteriza-se pelo tratamento justo e isonômico de todas as partes interessadas, levando em consideração seus direitos, deveres, necessidades, interesses e expectativas.
No controls mapped to this requirement
Princ. 4 Responsabilização (Accountability)
1 controls
Os agentes de governança devem prestar contas de sua atuação de modo claro, conciso, compreensível e tempestivo, assumindo integralmente as consequências de seus atos e omissões.
ID Description Reference
PAM-001 Eliminar privilégios permanentes (Zero Standing Privileges). Acesso Admin apenas... Princ. 4
Cap. 1.6 Conflitos de Interesses
4 controls
É de interesse da organização e de seus sócios que regras claras definam o que constitui conflito de interesses e como ele será tratado. A gestão adequada de conflitos de interesses é fundamental para a integridade do processo decisório.
ID Description Reference
JML-002 Gatilho de revisão em transferências: Mudança de cargo no RH inicia recertificaç... Cap. 1.6
JML-004 Campanhas trimestrais de Certificação de Acesso com revogação automática se não ... Cap. 1.6
PAM-002 Separar contas: adm-user (sem email/web) para gestão e user para uso diário. Cap. 1.6
PAM-004 Implementar Modelo de Camadas (Tiering/Red Forest): Admins Tier 0 nunca logan em... Cap. 1.6
Cap. 5.4 Gestão de Riscos
10 controls
O conselho de administração deve assegurar-se de que a diretoria possua mecanismos e controles internos para conhecer, avaliar e controlar os riscos, de modo a mantê-los em níveis compatíveis com os limites de exposição definidos.
ID Description Reference
AUTH-002 Impor MFA para todos os usuários com Number Matching para mitigar fadiga de MFA. Cap. 5.4
AUTH-003 Configurar Smart Lockout: Bloquear ator da ameaça (IP), não a conta do usuário (... Cap. 5.4
AUTH-004 Verificação de senhas banidas em tempo real contra listas globais (pwned) e dici... Cap. 5.4
AUTH-005 Bloquear login interativo e rotacionar segredos de Contas de Serviço a cada 90 d... Cap. 5.4
AUTH-006 Forçar re-autenticação para ações críticas (ex: ver dados sensíveis) independent... Cap. 5.4
AUTH-007 Desabilitar protocolos legados (Basic Auth: POP3, IMAP, SMTP) globalmente. Cap. 5.4
PAM-001 Eliminar privilégios permanentes (Zero Standing Privileges). Acesso Admin apenas... Cap. 5.4
PAM-005 2 contas de Emergência (Break Glass) monitoradas, cloud-only, fora do MFA e com ... Cap. 5.4
MON-002 Bloqueio automático baseado em Risco (User/Sign-in Risk) para eventos de alto ri... Cap. 5.4
AUTH-001 Impor MFA Resistente a Phishing (FIDO2/CBA) para todas as contas administrativas... Cap. 5.4
Cap. 5.5 Controles Internos
10 controls
A estrutura de controles internos deve operar de forma sincronizada e integrada, assegurando que a organização cumpra seus objetivos estratégicos, operacionais, de comunicação e de conformidade.
ID Description Reference
AUTH-005 Bloquear login interativo e rotacionar segredos de Contas de Serviço a cada 90 d... Cap. 5.5
JML-001 Automatizar aprovisionamento 'Birthright' via RH, criando contas desativadas até... Cap. 5.5
JML-002 Gatilho de revisão em transferências: Mudança de cargo no RH inicia recertificaç... Cap. 5.5
JML-004 Campanhas trimestrais de Certificação de Acesso com revogação automática se não ... Cap. 5.5
JML-005 Deteção de contas órfãs (Reconciliação): Comparar AD vs. RH semanalmente para ac... Cap. 5.5
JML-006 Prazo de validade (TTL) rígido para contas de convidados (B2B), exigindo renovaç... Cap. 5.5
PAM-002 Separar contas: adm-user (sem email/web) para gestão e user para uso diário. Cap. 5.5
PAM-003 Remover Admin Local e usar LAPS para senhas únicas e rotacionadas por estação. Cap. 5.5
PAM-004 Implementar Modelo de Camadas (Tiering/Red Forest): Admins Tier 0 nunca logan em... Cap. 5.5
PAM-006 Exigir Estações de Acesso Privilegiado (PAW) dedicadas para acessar consoles de ... Cap. 5.5
Cap. 5.6 Compliance
6 controls
A organização deve dispor de sistemas, processos, políticas e procedimentos para detectar e sanar desvios em relação às políticas, regulamentos, planos e procedimentos internos, à legislação e à regulamentação a que esteja submetida.
ID Description Reference
MON-001 Centralizar Logs de Auditoria/Sign-in em SIEM. Retenção: 90 dias (quente) / 365 ... Cap. 5.6
MON-002 Bloqueio automático baseado em Risco (User/Sign-in Risk) para eventos de alto ri... Cap. 5.6
MON-003 Alertar consentimentos de Apps OAuth ilícitas ou de alto privilégio não verifica... Cap. 5.6
MON-004 Alertas P1 para mudanças em grupos Tier 0 (Global/Domain Admins) com notificação... Cap. 5.6
MON-005 Monitorizar anomalias em Service Principals (volume de leitura, IPs novos, horár... Cap. 5.6
MON-006 Feedback do usuário ('Não fui eu') no MFA gera incidente de segurança imediato n... Cap. 5.6
Cap. 6.1 Conduta e Ética
3 controls
A organização deve adotar, divulgar e monitorar código de conduta que comprometa administradores e funcionários. O documento deve refletir adequadamente a cultura da empresa e enunciar os princípios e valores que devem nortear as ações.
ID Description Reference
JML-001 Automatizar aprovisionamento 'Birthright' via RH, criando contas desativadas até... Cap. 6.1
JML-003 Automatizar 'Kill Switch' de saída: Bloqueio e revogação de tokens em <15 min ap... Cap. 6.1
MON-006 Feedback do usuário ('Não fui eu') no MFA gera incidente de segurança imediato n... Cap. 6.1
Cap. 6.3.2 Informações Relevantes
3 controls
É ilegal e antiético usar informações relevantes ainda não divulgadas em benefício próprio ou de terceiros. A organização deve ter políticas e procedimentos claros para a proteção de informações privilegiadas.
ID Description Reference
JML-003 Automatizar 'Kill Switch' de saída: Bloqueio e revogação de tokens em <15 min ap... Cap. 6.3.2
JML-005 Deteção de contas órfãs (Reconciliação): Comparar AD vs. RH semanalmente para ac... Cap. 6.3.2
MON-003 Alertar consentimentos de Apps OAuth ilícitas ou de alto privilégio não verifica... Cap. 6.3.2

Risk Exposure

Risk ID Title Severity Status
RISK-001 Comprometimento de Credenciais Administrativas Critical Mitigating
RISK-008 Aplicações OAuth Maliciosas High Open
RISK-003 Exfiltração de Dados por Ex-Funcionários Critical Open
RISK-002 Acumulação de Privilégios (Privilege Creep) Critical Open
RISK-005 Falta de Visibilidade em Atividades Suspeitas Critical Open
RISK-013 Bypass de MFA via protocolos legados e fluxos não cobertos Critical Open
RISK-010 Conflito de Interesses por Acessos Privilegiados Critical Open
RISK-007 Comprometimento de Contas de Serviço Critical Open
RISK-009 Falha na Prestação de Contas (Accountability) Critical Open
RISK-006 Bypass de MFA via Protocolos Legados High Open
RISK-011 Fraquezas na federação e acesso de terceiros com MFA inadequ... High Open
RISK-012 Indisponibilidade operacional por falhas de MFA/IdP ou perda... Medium Open
RISK-004 Movimentação Lateral via Admin Local Critical Open
Risk Distribution

Educational Content

Standard Overview

Compliance standard for information security.

How Compliance is Calculated

Compliance is calculated based on the maturity level of each control mapped to this standard. Controls with maturity level 3 or above are considered compliant. The overall compliance percentage represents the ratio of compliant controls to total mapped controls.

  • Compliant: Maturity level 3 or above
  • Partial: Maturity level 1-2
  • Non-compliant: Maturity level 0 (not implemented)
Best Practices for Implementation
  1. Conduct a gap analysis to identify areas needing improvement
  2. Prioritize controls based on risk assessment results
  3. Establish clear ownership and accountability for each control
  4. Implement continuous monitoring and regular reviews
  5. Document evidence of compliance for audit readiness
  6. Train staff on security awareness and standard requirements
Back to Standards View Requirements