2.6. Frameworks
No cenário atual, a crescente digitalização de informações e processos organizacionais têm proporcionado inúmeros benefícios, no entanto, tem gerado uma crescente necessidade de aumento da privacidade e proteção dos dados, informações e sistemas contra as ameaças cibernéticas. Essa proteção tem sido uma prioridade para organizações de todos os setores.
Nesse contexto, os frameworks de Segurança da Informação e Segurança Cibernética emergem como ferramentas essenciais para abordar as complexidades das ameaças cibernéticas e estabelecer estratégias eficazes de defesa do ambiente digital.
Os frameworks funcionam como um conjunto de diretrizes e melhores práticas para garantir a confidencialidade, integridade, disponibilidade e autenticidade dos dados, informações e sistemas da organização.
Principais Frameworks disponíveis
ISO 27001/27002: a ISO 27001 é uma norma internacional para sistemas de gestão de Segurança da Informação. Ela fornece um conjunto de requisitos para estabelecer, implementar, manter e melhorar um sistema de gestão de segurança da informação. A ISO 27002, estabelece diretrizes detalhadas para a implementação dos controles de Segurança da Informação.
NIST Cybersecurity Framework: desenvolvido pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA, esse framework apresenta diretrizes para ajudar as organizações a melhorar sua postura de Segurança Cibernética. Ele é composto por funções para identificar, proteger, detectar, responder e recuperar.
CIS Controls: é um conjunto de melhores práticas destinadas a reduzir o risco de ameaças cibernéticas. Eles fornecem orientações detalhadas sobre a implementação de controles de segurança eficazes.
COBIT (Control Objectives for Information and Related Technologies): é um framework desenvolvido pelo ISACA que se concentra na governança de tecnologia da informação. Ele ajuda as organizações a estabelecer um ambiente de controle sólido, garantindo que a área de tecnologia da informação esteja alinhada com os objetivos da organização e em conformidade com as regulamentações relacionadas com a Segurança Cibernética.
MITRE ATT&CK: é um modelo de matriz de táticas e técnicas de ataque cibernético. Fornece uma estrutura que permite entender as táticas e técnicas que os adversários cibernéticos podem utilizar, e ajuda na melhoria para a detecção e a resposta a ameaças.
FISMA (Federal Information Security Management Act): é uma legislação dos EUA que exige que as agências federais desenvolvam, implementem e mantenham programas de Segurança da Informação, bem como diretrizes robustas para a Segurança Cibernética no setor público.
NIST SP 800-53: é um conjunto de controles de segurança desenvolvido pelo NIST dos EUA para uso em agências federais. É referenciado e adotado por organizações públicas e privadas para estabelecer medidas de segurança abrangentes.
ITIL (Information Technology Infrastructure Library): o ITIL é mais conhecido por seus processos de gerenciamento de serviços de tecnologia da informação. No entanto, o ITIL apresenta práticas relacionadas à Segurança Cibernética. Ajuda as organizações a integrar a Segurança Cibernética em suas operações de tecnologia da informação.
NICE Framework (National Initiative for Cybersecurity Education): desenvolvido pelo governo dos EUA. Esse framework define funções e especializações em Segurança Cibernética e fornece orientações para o desenvolvimento de força de trabalho em Segurança Cibernética.
Framework de Privacidade e Segurança da Informação do Governo Federal
A portaria SGD/MGI No. 852, no seu artigo 8º, estabelece que os órgãos e as entidades deverão implementar o Framework de Privacidade e Segurança da Informação, sendo de responsabilidade da Estrutura de Governança de cada órgão e entidade.
O Framework de Privacidade e Segurança da Informação, composto por um conjunto de controles, metodologias e ferramentas de apoio.
Mesmo sendo uma orientação para entidades públicas, é de bom tom as instituições privadas que tenham interesse em formecer serviços ao Governo Federal, se adequarem a este Framework, pois em breve pode começar a ser item obrigatório nas concorrências de prestações de serviço.
Last updated