[Segurança] Checklists

Os "checklists de segurança" nada mais são do que uma coletânea de recomendações e boas práticas na configuração de um determinado equipamento, produto ou tecnologia. Eles são muito úteis para padronizar a configuração de um conjunto de equipamentos, seguindo as necessidades de segurança da empresa. Também auxiliam na tarefa de auditar estes ativos, uma vez que basta verificar se a configuração ativa está condizente com o checklist respectivo.

Na Internet podemos encontrar diversos sites com checklists de segurança:

Para uma grande coleção de checklists, produzidos por alguns órgãos do governo americano para diversas plataformas:

• http://iase.disa.mil/stigs/checklist
  
• http://csrc.nist.gov/publications/nistpubs
  

Checklist nacional, voltado para administradores de rede:

• http://www.cert.br/docs/seg-adm-redes/
  

Checklists e referências do CERT e SANS:

• http://www.cert.org/nav/allpubs.html
  
• http://www.cert.org/tech_tips/usc20_full.html
  
• http://www.sans.org/resources/policies/
  

Checklists para servidores/aplicações Microsoft

• http://www.microsoft.com/technet/security/topics/serversecurity.mspx
  

Ah, não podemos nos esquecer que este montão de checklists servem como referência. O Ideal é cada um compilar um checklist que se adeque a necessidade de sua empresa. Usar um checklist genérico "as is" (na íntegra, do jeito que veio) não irá refletir sua real necessidade de segurança e sua aderência ao negócio.