Mais do que ter uma área de segurança da informação bem desenvolvida na empresa, é preciso que a governança seja estabelecida, sendo os frameworks as principais ferramentas para garantir a implementação de modelos e medidas das melhores práticas em SI.
Os frameworks existem para facilitar a vida de quem precisa de um norte ou uma solução rápida e confiável, baseada na experiência de quem entende. Portanto, você poupa tempo ao estruturar a governança de SI. É mais simples e seguro ter acesso ao que outras pessoas já sabem que funciona do que tentar criar algo, ou seja, aquela famosa história de querer reinventar a roda não é bem-vinda.
Um framework funciona como uma enciclopédia, reunindo as melhoras práticas sobre um tema na visão da entidade, empresa ou grupo de pessoas. Utilizar esse recurso é especialmente vantajoso quando se fala em Governança de Segurança da Informação, especialmente, pelos benefícios trazidos pelo uso de frameworks consolidados, sendo os principais:
Vantagens de um framework:
- Linguagem comum: O framework permite a adoção de uma linguagem comum para que todos possam gerar e receber informações de forma adequada e seguro. Por exemplo, uma empresa que utiliza a ISO 27001 entende a diferença de um evento de segurança e um incidente de segurança, o que facilita a comunicação entre as pessoas da área e diminui o risco de falhas. Aplicar um framework de SI é um passaporte direto para o acesso descomplicado a cursos e workshops, já que existe uma base conceitual comum. Também fica mais fácil escolher um fornecedor de treinamentos e você ainda possui a certeza de que os conteúdos aprendidos pelos funcionários serão aplicáveis ao modelo utilizado pela empresa.
- Conformidade/ Compliance: Incluir o uso de boas práticas de governança como critérios de auditoria é uma das maneiras que a organização tem de garantir uma avaliação de SI efetiva. Afinal, exigir que alguns padrões sejam adotados e avaliar a conformidade a esses padrões reduz os riscos da SI não estar sendo conduzida e gerenciada de forma adequada. Assim, a empresa consegue avaliar o nível de maturidade de SI atual em relação ao apetite de risco estabelecido pela alta gestão.
- Mais segurança: Com a utilização de um framework é possível melhorar a segurança, confiabilidade e qualidade dos dados, visto que o ele envolve um conjunto de regras, normas e regulamentos que afetam todos os tipos de dados que fluem pela organização, aprimorando, principalmente, a acessibilidade deles.
- Clareza para benchmarkings: O benchmarking é muito utilizado por empresas que querem descobrir oportunidades de melhorias no negócio e ajudar outras organizações a elevarem sua performance. Afinal, trata-se de uma interação única para conhecer o que está funcionando em outros lugares e o que não está. Usar frameworks deixa esse processo de busca das melhores práticas mais coerente e estruturado. Frameworks estabelecem padrões e, assim, garantem comparações mais confiáveis. Eles são a certeza de que os indicadores comparados tratam da mesma coisa e possibilitam a coleta de informações mais assertivas para a organização.
- Redução de riscos: Possibilitam que haja um maior controle sobre as vulnerabilidades dos sistemas e os riscos que podem prejudicar toda a cadeia de produção. Para isso, é preciso avaliar continuamente os dados, fazer uma análise preditiva, criar planos de contingências para lidar com imprevistos e mitigar possíveis danos.
- Facilidade de contratar pessoas: O domínio ou conhecimento de um determinado framework pode ser pré-requisito na hora de contratar novos funcionários. Assim, você sabe que a pessoa é qualificada e diminui os custos de contratação e treinamento, facilitando o trabalho do RH e do próprio colaborador, que já conhecerá quais são os processos e práticas desejáveis.
Já que falamos um pouco sobre frameworks, chegou a hora de falar sobre alguns que são reconhecidos internacionalmente. Muitos de vocês que estão lendo este artigo, já podem ter trabalhado com ou trabalham na composição e execução das boas práticas de um destes frameworks, porém não tinham uma visão clara do conceito e objetivo deles. Segue abaixo alguns frameworks de SI utilizados por diversas empresas:
Série ISO 27000
A série ISO 27000 foi desenvolvida pela Organização Internacional de Normalização. Ela fornece um framework de segurança muito amplo que pode ser aplicado em várias organizações, com ou sem fins lucrativos, privada ou pública, e de qualquer porte. Pode ser pensado como segurança da informação equivalente aos padrões de qualidade ISO 9000 para fabricação e até inclui um processo de certificação semelhante. É dividido em sub-padrões diferente com base no conteúdo. Como a ISO 27000, que consiste em uma visão geral e vocabulário, enquanto a ISO 27001 define os requisitos para o programa e a ISO 27002, define uma série de diretrizes de implementação dos controles estabelecidos na ISO 27001. Neste conjunto de normas, existem controles que abrangem a segurança de ponta a ponta, desde a criação de políticas de segurança da informação até mesmo processos de seleção, contratação e desligamento de fornecedores. Ou seja, abrangendo a segurança em todas as camadas da organização e não somente na TI.
CIS
Os controles CIS (Center for Internet Security), são um conjunto de recomendações para defesa cibernética em camadas que fornecem maneiras específicas e acionáveis para impedir os ataques mais difundidos. Os controles do CIS são uma lista relativamente curta de ações defensivas de alta prioridade e alta eficácia que fornecem um ponto de partida para todas as organizações que buscam melhorar sua defesa cibernética.
A priorização é um benefício importante para os controles CIS. Eles foram projetados para ajudar as organizações a definir rapidamente o ponto de partida de suas defesas, direcionar seus recursos escassos para ações com retorno imediato e de Alto valor e, em seguida, concentrar sua atenção e recursos em questões de risco adicionais, exclusivas de seus negócios ou missão.
NIST CSF
O framework de segurança da informação da NIST (National Institute of Standards and Technology) e CSF (Cybersecurity Framework) é uma versão de sistema publicada em 2018 pelo Instituto Nacional de Padrões e Tecnologia dos Estados Unidos.
Esse modelo tem o objetivo de avaliar e aprimorar a capacidade de prevenção, detecção e resposta a ataques cibernéticos, sendo o preferido entre as empresas para implementação. A estrutura utiliza fatores de negócios para orientar atividades de segurança cibernética e considera esse tipo de proteção como parte fundamental dos processos de gerenciamento de riscos de uma empresa.
Este framework é bastante reconhecido nos Estados Unidos pela sua presença em empresas públicas e privadas. Para equipes pequenas, pode ser complicado implementar seus controles devido à complexidade considerada no momento de sua concepção.
Conclusão
Pelos aspectos tratados ao longo desse artigo, podemos identificar a importância de um framework de segurança da informação no que tange à melhoria e o amadurecimento da Governança de SI. Entretanto, cabe a cada uma das organizações analisar o que é factível de ser implementado e o que de fato faz sentido para realidade da organização, ou seja, é necessário avaliar a cultura da empresa, recursos disponíveis, orçamento, prioridades e afins. Adotar um framework e todas as suas práticas na contramão das regras de negócios é uma decisão perigosa para a saúde financeira da empresa. Sendo assim, a adoção do framework depende de uma análise sistêmica da organização como um todo, desde seus gaps de segurança da informação até o alinhamento com os objetivos de negócio, tornando a segurança um pilar estratégico do negócio.