# Avaliação de arquitetura

## Introdução

A prática de avaliação de arquitetura garante que a arquitetura de aplicação e infraestrutura atenda aos requisitos de segurança e conformidade, e mitigue as ameaças de segurança identificadas. Ela verifica o cumprimento dos requisitos de segurança e conformidade, analisa as mitigação de ameaças e aprimora continuamente a arquitetura de segurança por meio de revisões sistemáticas e feedback para melhorar as arquiteturas de referência.

## Modelo

<table data-full-width="true"><thead><tr><th data-type="number">Nível de maturidade</th><th>Descrição</th><th>Fluxo de criar e promover</th><th>Fluxo de medir e melhorar</th></tr></thead><tbody><tr><td>1</td><td>Realize uma revisão da arquitetura para garantir que as mitigações básicas estejam em vigor para riscos típicos.</td><td>Identifique de forma precisa os componentes da arquitetura de aplicação e infraestrutura para garantir que nenhum elemento relevante seja negligenciado durante a revisão de segurança.</td><td>Realize revisões ad-hoc da arquitetura para identificar ameaças de segurança que não foram adequadamente mitigadas e tomar medidas corretivas imediatas.</td></tr><tr><td>2</td><td>Avalie a implementação completa dos mecanismos de segurança na arquitetura.</td><td>Além de validar a presença dos mecanismos de segurança na arquitetura, verifique se eles estão implementados corretamente e se são eficazes na proteção dos ativos.</td><td>Realize revisões ad-hoc da arquitetura para identificar ameaças de segurança que não foram adequadamente mitigadas e tomar medidas corretivas imediatas.</td></tr><tr><td>3</td><td>Analise a efetividade da arquitetura e forneça feedback para melhorar a arquitetura de segurança.</td><td>Realize uma revisão abrangente dos componentes da arquitetura para avaliar a efetividade das medidas de segurança adotadas, identificando possíveis brechas ou pontos de melhoria.</td><td>Integre os resultados da revisão da arquitetura de segurança com a arquitetura corporativa, os princípios e padrões de design organizacional, as soluções de segurança e as arquiteturas de referência, de modo a atualizar e melhorar esses elementos com base nas descobertas e lições aprendidas.</td></tr></tbody></table>

## Como implementar?

1. **Identificar os requisitos de segurança e conformidade:** Comece por compreender os requisitos de segurança e conformidade aplicáveis ao seu ambiente e às suas aplicações. Isso pode incluir regulamentos específicos do setor, políticas internas e padrões de segurança.
2. **Realizar uma revisão abrangente da arquitetura:** Analise a arquitetura da sua aplicação e infraestrutura para identificar se as mitigação de riscos básicas estão em vigor. Verifique se as melhores práticas de segurança estão sendo seguidas e se os controles adequados estão implementados.
3. **Avaliar a eficácia dos mecanismos de segurança:** Verifique se os mecanismos de segurança implementados na arquitetura estão funcionando corretamente e oferecendo a proteção esperada. Isso pode envolver testes de penetração, revisões de código e avaliações de segurança.
4. **Identificar e mitigar ameaças conhecidas:** Realize uma análise detalhada das ameaças conhecidas que podem afetar a sua arquitetura. Identifique possíveis vulnerabilidades e tome medidas para mitigar essas ameaças, como aplicar patches de segurança, atualizar software ou reconfigurar componentes.
5. **Retroalimentar a arquitetura de segurança:** Após a revisão da arquitetura, forneça feedback para melhorar a arquitetura de segurança. Compartilhe os resultados das análises e revisões com a equipe de arquitetura, as partes interessadas relevantes e outros envolvidos no processo de desenvolvimento. Use essas informações para atualizar as arquiteturas de referência, padrões de design e políticas de segurança.
6. **Monitorar e atualizar regularmente:** A avaliação da arquitetura de segurança deve ser um processo contínuo. Monitore regularmente a eficácia dos controles de segurança implementados, avalie novas ameaças e vulnerabilidades e ajuste a arquitetura conforme necessário. Mantenha-se atualizado sobre as melhores práticas de segurança e aplique melhorias contínuas para garantir uma arquitetura robusta e resiliente.
Nível de maturidade	Descrição	Fluxo de criar e promover	Fluxo de medir e melhorar
1	Realize uma revisão da arquitetura para garantir que as mitigações básicas estejam em vigor para riscos típicos.	Identifique de forma precisa os componentes da arquitetura de aplicação e infraestrutura para garantir que nenhum elemento relevante seja negligenciado durante a revisão de segurança.	Realize revisões ad-hoc da arquitetura para identificar ameaças de segurança que não foram adequadamente mitigadas e tomar medidas corretivas imediatas.
2	Avalie a implementação completa dos mecanismos de segurança na arquitetura.	Além de validar a presença dos mecanismos de segurança na arquitetura, verifique se eles estão implementados corretamente e se são eficazes na proteção dos ativos.	Realize revisões ad-hoc da arquitetura para identificar ameaças de segurança que não foram adequadamente mitigadas e tomar medidas corretivas imediatas.
3	Analise a efetividade da arquitetura e forneça feedback para melhorar a arquitetura de segurança.	Realize uma revisão abrangente dos componentes da arquitetura para avaliar a efetividade das medidas de segurança adotadas, identificando possíveis brechas ou pontos de melhoria.	Integre os resultados da revisão da arquitetura de segurança com a arquitetura corporativa, os princípios e padrões de design organizacional, as soluções de segurança e as arquiteturas de referência, de modo a atualizar e melhorar esses elementos com base nas descobertas e lições aprendidas.