SEJA BEM VINDO!

pt
pt

Frameworks para Segurança da Informação.

BLOG-CIBERSEGURANÇA

Escreva aqui o conteúdo do postSabemos que Segurança da Informação é uma matéria multidisciplinar que abrange diversas áreas de atuação, desde a criação de políticas até a implementação de ferramentas (hardware e software) para a garantia da segurança, e quando falamos da implementação da Segurança da Informação dentro de uma organização esse assunto torna-se complexo.

Cada organização possui um tamanho diferente, além de modelos de negócios distintos, como saber quais ferramentas e medidas baseadas em Segurança da Informação utilizar? Para responder essa questão e ajudar na implementação utilizamos os frameworks de Segurança da Informação.

Mas afinal, o que é um framework? Framework (traduzido do inglês “estrutura”), a grosso modo, são modelos e esqueletos utilizados para a construção de um programa de Segurança da Informação dentro da empresa. Os Frameworks fornecem uma série de procedimentos, análises e boas práticas a serem adotadas na implementação da Segurança da Informação com base no modelo de negócio e tamanho das organizações.

Os profissionais responsáveis de Segurança da Informação precisam realizar um estudo aprofundado do atual cenário da empresa, identificar seus riscos e vulnerabilidades, além de conhecer o conteúdo do framework escolhido para implementação, ajudando a definir e priorizar medidas e controles necessários.

Os principais frameworks utilizados em Segurança da Informação são as normas ISO/IEC da família 27.000, o NIST Cyber Security Framework, o ISF (Information Security Forum), o CIS (Center for Internet Security) entre outros.

As normas da família ISO/IEC 27.000 tratam de diversos temas dentro da Segurança da Informação, como avaliação de riscos, continuidade de negócios, auditoria de controles, segurança em cloud etc. Porém, as duas principais normas utilizadas são as 27.001 e 27.002 que tratam da implementação de um Sistema de Gestão de Segurança da Informação (SGSI).

As normas podem ser adotadas independente do tamanho ou tipo da organização. O foco da ISO 27.001 e 27.002 é proteger a confidencialidade, integridade e disponibilidade da informação de uma organização. A ISO 27.001 possui em seu Anexo A um catálogo de 114 controles (salvaguardas) distribuídos em 14 seções, esses controles são melhores abordados e detalhados na norma ISO 27.002. A norma ISO 27.001 recebeu atualização esse ano (2022) e a ISO 27.002 está em processo de atualização.

O NIST Cybersecurity Framework é um conjunto de diretrizes e boas práticas em forma de controles e ações com o objetivo de mitigar os riscos de segurança da informação na organização. É publicado pelo Instituto Nacional de Padrões e Tecnologia dos EUA (NIST). O Cybersecurity Framework do NIST está dividido em 5 capítulos (identificar, proteger, detectar, responder e recuperar) com uma subdivisão em 23 categorias. Para cada categoria existem outras subcategorias com um total de 108 controles.

O ISF (Information Security Forum) oferece uma variedade de conteúdo, ferramentas e estudos. Para a utilização de seu conteúdo é necessário realizar o pagamento de uma taxa de associação, porém, oferece mais funcionalidades em comparação com outras ferramentas (podemos citar a possibilidade da realização de benchmark com outras empresas ou setores quando estamos analisando a maturidade de segurança da informação da organização). Suas principais ferramentas são:

SOGP: Standard of Good Practice for Information Security (Padrão de Boas Práticas para Segurança da Informação) é a principal ferramenta, fornece controles e orientações gerais e abrangentes sobre temas atuais e futuros para segurança da informação que permitem às organizações se preparar e responder rapidamente no ritmo em que as ameaças, a tecnologia e os riscos evoluem.

The ISF Benchmark é uma ferramenta estratégica que pode ser usada pelas organizações para melhorar o desempenho de sua estrutura de segurança da informação. O objetivo dessa ferramenta é comparar a organização com seus pares e com o setor específico de atuação, com o objetivo de analisar a maturidade de segurança e manter os padrões e os riscos a um nível aceitável. Essa ferramenta é dividida em 3 opções:

  • Security Benchmark um questionário completo com mais de 4000 questões permitindo uma avaliação minuciosa da organização.

  • Security Healthcheck que é composto de um questionário modular que possui em torno de 400 questões que permite uma visão geral rápida de toda a segurança da informação.

  • Security Radar um questionário com mais ou menos 40 questões para uma avaliação rápida e pontual de determinada área. A funcionalidade do Benchmark também apoia as organizações no acompanhamento do sucesso de sua segurança, programas de melhoria, para entender se suas iniciativas resultaram em maior controle e para identificar quais áreas requerem mais investimentos.

IRAM2 (Information Risk Assessment Methodology 2) é uma ferramenta utilizada para avaliar o risco da informação e aplicação de controles coerentes com o apetite de risco da sua organização.

O CIS Controls é um framework de segurança desenvolvido pela Center for Internet Security, entidade americana sem fins lucrativos. A última versão, a oitava, foi lançada em maio de 2021. Esse framework consiste em um total de 153 salvaguardas (proteções) divididas em 18 controles de cibersegurança, com 3 grupos de implementação bem definidos. Seu principal diferencial é a abordagem por grupos de implementação, que auxiliam e guiam esse processo.

  • O primeiro grupo de implementação (IG1) contêm 56 proteções que são voltadas para organizações com recursos limitados.

  • Já o segundo grupo de implementação (IG2) possui 74 proteções que se somam as 56 salvaguardas do grupo anterior, totalizando 130 proteções para implantação desse nível. As salvaguardas do IG2 são voltadas para organizações com recursos moderados e com maior exposição a riscos.

  • Por fim, o terceiro grupo de implementação (IG3) contêm 23 proteções, que somando aos grupos anteriores, totalizam as 153 salvaguardas do CIS Controls. Esse último grupo é voltado para organizações mais maduras e com recursos significativos e exposição de alto risco

Para finalizar, é válido dizer que a adoção de frameworks de Segurança da Informação, além de trazer uma série de benefícios para a organização como um todo (agilidade, melhora na comunicação entre áreas, maior sinergia etc), fornece o norte para a organização implementar salvaguardas de segurança de acordo com o tamanho e estratégia de negócios da empresa, agilizando em tempo e otimizando os recursos disponíveis.

Bons estudos a todos!!!

Por Flavio Virgilio

https://www.linkedin.com/pulse/frameworks-para-seguran%25C3%25A7a-da-informa%25C3%25A7%25C3%25A3o-flavio-virgilio/

Contato

Entre em contato para dúvidas e sugestões.

Artigos

comercial01@fenixshield.com.br

© 2025. All rights reserved.

cyberblog@fenixshield.com.br

Visite Nosso Site