Frameworks de Segurança que são Importantes Conhecer
O mundo virtual está cada dia mais complicado, e os ataques também ficam mais sofisticados a cada dia. Vulnerabilidades Zero Day que antes eram exploradas semanas após descobertas e hoje são exploradas horas após serem descobertas. O mundo virtual além de complicado, também vai ficando mais complexo. Virou um ponto crucial na segurança compreender e implementar estruturas sólidas e robustas de segurança, visando garantir não só a segurança mas também a continuidade e resiliência do seu negócio.
Abaixo um resumo, desde diretrizes mais conhecidas no mercado como NIST, ISO/IEC 27001, CIS entre outras, até frameworks específicos de indústrias.
CCM - CSA Cloud Controls Matrix
Estrutura de controle de segurança cibernética especificamente adaptada para computação em nuvem. Inclui 197 objetivos de controle organizados em 17 domínios, abrangendo todo o espectro da tecnologia de nuvem. Esta matriz é útil para avaliação metódica de implementações de nuvem e oferece conselhos sobre a alocação de controles de segurança entre os diferentes participantes da cadeia de fornecimento de nuvem.
CIS Control - The Center for Internet Security
Coleção de práticas recomendadas para melhorar a postura de segurança cibernética. Esses controles são utilizados e desenvolvidos por meio de um processo de consenso comunitário por milhares de especialistas em segurança cibernética em todo o mundo. Inclui 20 controles, cobrindo muitas áreas de segurança, como controle de acesso, gestão de ativos e resposta a incidentes. Os controles CIS são divididos em três categorias: Básico, Fundamental e Organizacional.
CMMC 2.0
CMMC 2.0 (Cybersecurity Maturity Model Certification) é a versão mais recente da estrutura do Departamento de Defesa dos EUA ( US Department of Defense’s - DOD), anunciada em 2021. Ela foi desenvolvida para proteger informações de segurança nacional, criando um conjunto de padrões de segurança cibernética consistentes para qualquer organização que trabalhe com o DOD. No CMMC 2.0., existem 3 níveis separados com base na confidencialidade dos dados que uma organização processa. Cada nível tem uma quantidade maior de práticas exigidas, bem como a intensidade das avaliações. No nível de referência 1, existem 17 práticas em vigor com uma autoavaliação anual. No nível 3, são necessárias mais de 110 práticas, juntamente com avaliações trienais lideradas pelo governo.
COBIT - Control Objectives for Information and Related Technologies
Estrutura projetada para governança de TI. Auxilia as Empresas na adoção, supervisão e aprimoramento das melhores práticas em gerenciamento de TI. Desenvolvido pela ISACA, o COBIT serve para conectar desafios técnicos, riscos de negócios e necessidades de controle.
COSO (Committee of Sponsoring Organizations of the Treadway Commission)
Organização sem fins lucrativos, dedicada a melhoria dos relatórios financeiros, sobretudo pela aplicação da ética e efetividade na aplicação e cumprimento dos controles internos e é patrocinado pelas cinco das principais associações de classe de profissionais ligados à área financeira nos EUA.
Digital Operational Resilience Act (DORA)
O "Digital Operational Resilience Act" estabelece regras sobre a gestão dos riscos das ICT, a comunicação de incidentes, os testes de resiliência operacional e a monitorização dos riscos das ICT de terceiros. Este Regulamento reconhece que os incidentes de ICT e a falta de resiliência operacional têm a possibilidade de comprometer a solidez de todo o sistema financeiro, mesmo que exista capital "adequado" para as categorias de risco tradicionais
FISMA
Federal Information Security Management Act (FISMA) é uma estrutura abrangente de segurança cibernética que visa a proteção das informações e sistemas do governo federal contra ameaças. A FISMA também se estende a terceiros e fornecedores que trabalham em nome de agências federais. Sua estrutura está estreitamente alinhada com os padrões de segurança cibernética do NIST e exige que agências e terceiros mantenham um inventário dos seus ativos digitais e identifiquem quaisquer integrações entre redes e sistemas.
HIPAA
Health Insurance Portability and Accountability Act (HIPAA) é um framework de segurança cibernética que exige que as organizações de saúde implementem controles para garantir e proteger a privacidade das informações eletrônicas de saúde. De acordo com a HIPAA, além de demonstrar conformidade com as melhores práticas de risco cibernético – como treinamento de funcionários – as empresas do setor também devem realizar avaliações de risco para gerenciar e identificar riscos emergentes.
HITRUST CSF
Health Information Trust Alliance (HITRUST) Common Security Framework (CSF) é uma estrutura de segurança abrangente projetada para o setor de saúde. Este padrão inclui práticas recomendadas para proteger a segurança dos dados dos pacientes, abrangendo áreas como controle de acesso, gerenciamento de identidade e acesso, criptografia, registro de auditoria e resposta a incidentes. O HITRUST CSF inclui governança detalhada de segurança cibernética, gerenciamento de riscos e requisitos de conformidade, ajudando as organizações a atender aos requisitos regulatórios relevantes e, ao mesmo tempo, proteger seus sistemas contra possíveis ameaças cibernéticas.
ISO/IEC 27001:2022 e ISO 27002
Fornecem uma estrutura abrangente para organizações que buscam proteger seus dados por meio de políticas robustas e práticas recomendadas. Desenvolvidos inicialmente pela Organização Internacional de Normalização (International Organization for Standardization - ISO), estes padrões estabelecem princípios e práticas que garantem que as organizações tomem medidas adequadas para proteger os seus dados. Desde a gestão de ativos e controle de acesso até a resposta a incidentes e continuidade de negócios, esses padrões fornecem diretrizes detalhadas para ajudar as organizações a proteger suas redes. A ISO 27001 é uma norma internacional que fornece uma abordagem sistemática para avaliação de riscos, seleção de controles e implementação. Inclui requisitos para estabelecer um Sistema de Gestão de Segurança da Informação (SGSI). A ISO 27002 é um código de prática que descreve controles de segurança mais específicos e detalhados. Quando implementados em conjunto, estes dois padrões proporcionam às organizações uma abordagem abrangente à gestão da segurança da informação.
KATAKRI
Criado pela Autoridade de Segurança Nacional da Finlândia, foi concebido para garantir que a Empresa alvo mantenha medidas de segurança suficientes. Isto evita a exposição de informações classificadas de uma autoridade em todos os locais onde essas informações são processadas.
NERC-CIP
A "North American Electric Reliability Corporation - Critical Infrastructure Protection (NERC-CIP)" é um conjunto de padrões de segurança cibernética projetados para ajudar o setor de serviços públicos e de energia a reduzir riscos e garantir a confiabilidade dos sistemas. O NERC-CIP estipula uma série de controles, incluindo categorização de sistemas e ativos críticos, treinamento de pessoal, resposta e planejamento a incidentes, planos de recuperação para ativos cibernéticos críticos, avaliações de vulnerabilidade e muito mais.
NIST Cybersecurity Framework (CSF)
Desenhado para ajudar as Organizações a iniciar ou aprimorar seus programas de segurança cibernética. Com base em práticas comprovadas, ajuda a fortalecer as defesas de segurança cibernética de uma organização. Para organizações maiores, facilita a integração e o alinhamento da gestão de riscos de segurança cibernética com as estratégias mais amplas de gestão de riscos empresariais.
OWASP AI Exchange
Este framework colaborativo e open source é usado para compartilhar padrões, regulamentações e conhecimentos globais de segurança de IA e visa mitigar riscos assim como aumentar a segurança cibernética de IA para todos. O OWASP AI Exchange é como um esforço colaborativo de código aberto para progredir no desenvolvimento e compartilhamento de padrões, regulamentações e conhecimentos globais de segurança de IA. Abrange ameaças, vulnerabilidades e controles de IA.
PCI DSS
O PCI DSS (Payment Card Industry Data Security Standard) é um padrão de segurança para gerenciar informações de cartão de crédito. Supervisionado pelo Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI SSC), esse padrão é exigido pelas bandeiras de cartão. Tem como objetivo aprimorar o gerenciamento dos dados do titular do cartão e minimizar fraudes. A conformidade com esta norma é verificada anualmente ou trimestralmente, dependendo da Empresa.
SCF - Secure Controls Framework
Concentra-se em controles internos, abrangendo políticas, padrões, procedimentos, tecnologias relacionados à segurança cibernética e à privacidade de dados e seus processos relacionados. Elaborados para oferecer garantia razoável de cumprimento dos objetivos de negócios e prevenção, detecção e retificação de eventos indesejados.
SOC2
"Service Organization Control (SOC)" Tipo 2 é uma estrutura de segurança baseada em um padrão de auditoria desenvolvido pelo Instituto Americano de Contadores Públicos Certificados - American Institute of Certified Public Accountants (AICPA) - para ajudar a verificar se fornecedores e parceiros estão gerenciando com segurança os dados dos clientes. A SOC2 especifica mais de 60 requisitos de conformidade e extensos processos de auditoria para sistemas e controles de terceiros. As auditorias podem levar um ano para serem concluídas. Nesse ponto, é emitido um relatório que atesta a postura de segurança cibernética do fornecedor.
SOGP - The Standard of Good Practice for Information Security
Oferece orientação prática e confiável sobre tópicos de segurança da informação com foco nos negócios. Auxilia as Empresas na implementação das melhores práticas atuais em suas operações comerciais, programas e políticas de segurança da informação, bem como em suas estruturas de gestão de riscos e conformidade.
Lembrou de mais algum que vale a pena compartilhar? Coloca nos comentários...
