Muitas organizações consideram a segurança cibernética uma prioridade. A necessidade de implementar estratégias eficazes de segurança cibernética cresce a cada dia. Os cibercriminosos derivam continuamente técnicas mais sofisticadas para executar ataques. Isso levou ao desenvolvimento de várias estruturas destinadas a ajudar as organizações a alcançar programas robustos de segurança cibernética. Portanto, as empresas devem entender as principais estruturas de segurança cibernética para aprimorar suas posturas de segurança. As estruturas de segurança cibernética se referem às estruturas definidas que contêm processos, práticas e tecnologias que as empresas podem usar para proteger os sistemas de rede e de computador contra ameaças à segurança. As empresas devem entender as estruturas de segurança cibernética para melhorar a segurança organizacional. As principais estruturas de segurança cibernética são discutidas abaixo:

1. ISO IEC 27001 / ISO 27002

A estrutura de segurança cibernética da ISO 27001 consiste em padrões internacionais que recomendam os requisitos para o gerenciamento de sistemas de gerenciamento de segurança da informação (ISMS). A ISO 27001 observa um processo baseado em risco que exige que as empresas implementem medidas para detectar ameaças à segurança que afetam seus sistemas de informação. Para lidar com as ameaças identificadas, os padrões ISO 27001 recomendam vários controles. Uma organização deve selecionar controles adequados que possam atenuar os riscos de segurança para garantir a proteção contra ataques. No total, a ISO 27001 defende um total de 114 controles, que são categorizados em 14 categorias diferentes. Algumas das categorias incluem políticas de segurança da informação contendo dois controles; organização de segurança da informação com sete controles que detalham as responsabilidades de várias tarefas; categoria de segurança de recursos humanos com seis controles para permitir que os funcionários entendam sua responsabilidade em manter a segurança da informação; entre outros.

Por outro lado, a estrutura ISO 27002 compreende padrões internacionais que detalham os controles que uma organização deve usar para gerenciar a segurança dos sistemas de informação. A ISO 27002 foi projetada para uso juntamente com a ISO 27001, e a maioria das organizações usa ambas para demonstrar seu compromisso em cumprir com vários requisitos exigidos por diferentes regulamentos. Alguns dos controles de segurança da informação recomendados na norma ISO 27002 incluem políticas para aprimorar a segurança das informações, controles como inventário de ativos para gerenciar ativos de TI, controles de acesso para vários requisitos de negócios e para gerenciar o acesso do usuário e controles de segurança operacional.

2. NIST Cybersecurity Framework

A NIST Cybersecurity Framework foi desenvolvida para responder à Ordem Executiva 13636 presidencial. A ordem executiva tem como objetivo melhorar a segurança da infraestrutura crítica do país, protegendo-a de ataques internos e externos. Embora o design da estrutura vise garantir infraestruturas críticas, as organizações privadas a implementam para fortalecer suas defesas cibernéticas. Em particular, o NIST CSF descreve cinco funções que gerenciam os riscos à segurança de dados e informações. As funções são identificar, proteger, detectar, responder e recuperar.

A função de identificação orienta as organizações na detecção de riscos de segurança ao gerenciamento de ativos, ambiente de negócios e governança de TI por meio de processos abrangentes de avaliação e gerenciamento de riscos. A função de detecção define controles de segurança para proteger sistemas de dados e informações. Isso inclui controle de acesso, treinamento e conscientização, segurança de dados, procedimentos para proteção de informações e manutenção de tecnologias de proteção. O Detect fornece diretrizes para detectar anomalias na segurança, sistemas de monitoramento e redes para descobrir incidências de segurança, entre outros. A função de resposta inclui recomendações para planejar respostas a eventos de segurança, procedimentos de mitigação, processos de comunicação durante uma resposta e atividades para melhorar a resiliência de segurança. Por fim,

3. IASME Governance

A governança do IASME refere-se aos padrões de segurança cibernética projetados para permitir que pequenas e médias empresas obtenham garantia de informações adequada. A governança do IASME descreve um critério no qual uma empresa pode ser certificada como tendo implementado as medidas relevantes de segurança cibernética. O padrão permite que as empresas demonstrem aos clientes novos ou existentes sua prontidão na proteção de negócios ou dados pessoais. Em resumo, é usado para credenciar a postura de segurança cibernética de uma empresa. O credenciamento de governança IASME é semelhante ao de uma certificação ISO 27001. No entanto, a implementação e manutenção do padrão vêm com custos reduzidos, despesas administrativas e complexidades. A certificação dos padrões IASME inclui seguro de segurança cibernética gratuito para empresas que operam no Reino Unido.

4. SOC 2

O Instituto Americano de Contadores Públicos Certificados (AICPA -American Institute of Certified Public Accountants) desenvolveu o SOC 2 framework. O objetivo do framework permitir que as organizações que coletam e armazenam informações pessoais dos clientes nos serviços em nuvem mantenham a segurança adequada. Além disso, o framework fornece às empresas de SaaS diretrizes e requisitos para mitigar os riscos de violação de dados e fortalecer suas posturas de segurança cibernética. Além disso, a estrutura do SOC 2 detalha os requisitos de segurança que fornecedores e terceiros devem cumprir. Os requisitos os orientam na condução de análises de ameaças externas e internas para identificar possíveis ameaças à segurança cibernética. O SOC 2 contém um total de 61 requisitos de conformidade, e isso o torna uma das estruturas mais desafiadoras para implementar. Os requisitos incluem diretrizes para destruir informações confidenciais.

5. CIS v7

O órgão responsável pelo desenvolvimento e manutenção do framework CIS v7 é o Centro de Segurança da Informação (CIS). O CIS v7 lista 20 requisitos acionáveis de segurança cibernética destinados a aprimorar os padrões de segurança de todas as organizações. A maioria das empresas considera os requisitos de segurança como melhores práticas, uma vez que o CIS tem uma reputação credível no desenvolvimento de programas de segurança de linha de base. A estrutura categoriza os controles de segurança da informação em três grupos de implementação. O grupo de implementação 1 é para empresas que possuem conhecimentos e recursos limitados de segurança cibernética. O grupo de implementação 2 é para todas as organizações com experiência e recursos técnicos moderados na implementação dos subcontroles, enquanto o grupo de implementação 3 tem como alvo empresas com vasta experiência e recursos em segurança cibernética. O CIS v7 se destaca do resto, pois permite que as organizações criem programas de segurança cibernética que respeitem o orçamento. Também lhes permite priorizar os esforços de segurança cibernética.

6. NIST 800-53

O Instituto Nacional de Padrões e Tecnologia criou a publicação NIST 800-53 para permitir que agências federais realizem práticas eficazes de segurança cibernética. O framework se concentra nos requisitos de segurança da informação projetados para permitir que as agências federais protejam os sistemas de informação e a informação. Além disso, o NIST 800-53 fornece às organizações governamentais os requisitos para permitir que cumpram os requisitos da FISMA (Federal Information Security Management Act). O NIST 800-53 é único, pois contém mais de 900 requisitos de segurança, tornando-se uma das estruturas mais complicadas para a organização implementar. Os requisitos recomendados na estrutura incluem controles para aprimorar a segurança física, testes de penetração, diretrizes para implementar avaliações de segurança e políticas ou procedimentos de autorização, entre outros.

7. COBIT

O COBIT (Control Objectives for Information and Related Technologies) é um framework de segurança cibernética que integra os melhores aspectos de uma empresa à sua segurança, governança e gerenciamento de TI. A ISACA (Associação de Auditoria e Controle de Sistemas de Informação) desenvolveu e mantém o framework. O framework de segurança cibernética do COBIT é útil para empresas que visam melhorar a qualidade da produção e, ao mesmo tempo, aderir a práticas aprimoradas de segurança. Os fatores que levaram à criação da estrutura são a necessidade de atender a todas as expectativas de segurança cibernética das partes interessadas, os controles de procedimentos de ponta a ponta para as empresas e a necessidade de desenvolver uma estrutura de segurança única, porém integrada.

8. COSO

O COSO (Committee of Sponsoring Organizations) é um framework que permite às organizações identificar e gerenciar riscos de segurança cibernética. Os pontos principais por trás do desenvolvimento do framework incluem monitoramento, auditoria, geração de relatórios, controle, entre outros. Além disso, a estrutura consiste em 17 requisitos, que são categorizados em cinco categorias diferentes. As categorias são ambiente de controle, avaliações de risco, atividades de controle, informação e comunicação e monitoramento e controle. Todos os componentes da estrutura colaboram para estabelecer processos sólidos para identificar e gerenciar riscos. Uma empresa que usa a estrutura identifica e avalia rotineiramente os riscos de segurança em todos os níveis organizacionais, melhorando assim suas estratégias de segurança cibernética. Além disso, a estrutura recomenda processos de comunicação para comunicar riscos de informações e objetivos de segurança em uma organização. A estrutura ainda permite o monitoramento contínuo de eventos de segurança para permitir respostas rápidas.

9. TC CYBER

O framework do TC CYBER (Comitê Técnico em Segurança Cibernética ) foi desenvolvido para melhorar os padrões de telecomunicações nos países localizados nas zonas europeias. O framework recomenda um conjunto de requisitos para melhorar a conscientização da privacidade de indivíduos ou organizações. Ele se concentra em garantir que organizações e indivíduos possam desfrutar de altos níveis de privacidade ao usar vários canais de telecomunicações. Além disso, a estrutura recomenda medidas para melhorar a segurança da comunicação. Embora a estrutura aborde especificamente a privacidade e a segurança das telecomunicações nas zonas europeias, outros países ao redor do mundo também a utilizam.

10. HITRUST CSF

O framework de cibersegurança HITRUST (Health Information Trust Alliance) aborda as várias medidas para aprimorar a segurança. A estrutura foi desenvolvida para atender aos problemas de segurança que as organizações do setor de saúde enfrentam ao gerenciar a segurança de TI. Isso ocorre através do fornecimento dessas instituições de abordagens eficientes, abrangentes e flexíveis para gerenciar riscos e atender a vários regulamentos de conformidade. Em particular, a estrutura integra vários regulamentos de conformidade para proteger informações pessoais. Isso inclui a Lei de Proteção de Dados Pessoais de Cingapura e interpreta as recitações de requisitos relevantes do Regulamento Geral de Proteção de Dados. Além disso, a estrutura de segurança cibernética HITRUST é revisada regularmente para garantir que inclua requisitos de proteção de dados específicos do regulamento HIPPA.

11. CISQ

O CISQ (Consortium for IT Software Quality) fornece padrões de segurança que os desenvolvedores devem manter ao desenvolver aplicativos de software. Além disso, os desenvolvedores usam os padrões CISQ para medir o tamanho e a qualidade de um programa de software. Além disso, os padrões CISQ permitem que os desenvolvedores de software avaliem os riscos e vulnerabilidades presentes em um aplicativo concluído ou em desenvolvimento. Como resultado, eles podem lidar com todas as ameaças com eficiência para garantir que os usuários acessem e usem aplicativos de software seguros. As vulnerabilidades e explorações identificadas pelo OWASP (Open Web Application Security Project), SANS Institute e CWE (Common Weaknesses Enumeration) identificam as bases sobre as quais os padrões CISQ são desenvolvidos e mantidos.

12. Ten Steps to Cybersecurity

Os Dez Passos para a Cibersegurança (Ten Steps to Cybersecurity) é uma iniciativa do Departamento de Negócios do Reino Unido. Ele fornece aos executivos de negócios uma visão geral de segurança cibernética. O framework reconhece a importância de fornecer aos executivos conhecimento de questões de segurança cibernética que afetam o desenvolvimento ou crescimento dos negócios e as várias medidas usadas para mitigar esses problemas. Isso lhes permite tomar decisões de gerenciamento mais bem informadas em relação à segurança cibernética organizacional. Como tal, a estrutura usa descrições amplas, mas com menos detalhes técnicos, para explicar os vários riscos cibernéticos, defesas, medidas de mitigação e soluções, permitindo que uma empresa empregue uma abordagem em toda a empresa para aprimorar a segurança cibernética.

13. FedRAMP

O FedRAMP (Programa Federal de Gerenciamento de Riscos e Autorizações) é um framework projetado para agências governamentais. O framework fornece diretrizes padronizadas que podem permitir às agências federais avaliar ameaças e riscos cibernéticos para as diferentes plataformas de infraestrutura e serviços e soluções de software baseados em nuvem. Além disso, o framework permite a reutilização de pacotes e avaliações de segurança existentes em várias agências governamentais. O framework também se baseia no monitoramento contínuo da infraestrutura de TI e dos produtos em nuvem para facilitar um programa de segurança cibernética em tempo real. Mais importante, o FedRAMP se concentra em mudar de TI tediosa, amarrada e insegura para uma TI móvel e rápida mais segura. O objetivo é garantir que as agências federais tenham acesso a tecnologias modernas e confiáveis, mas sem comprometer sua segurança.

Para alcançar os níveis de segurança desejados, o FedRAMP colabora com especialistas em nuvem e segurança cibernética envolvidos na manutenção de outras estruturas de segurança. Isso inclui NSA, DoD, NIST, GSA, OMB e outros grupos nos setores privados. Os principais objetivos do FedRAMP são acelerar as migrações na nuvem reutilizando autorizações e avaliações, aumentar a confiança na segurança na nuvem, garantir que as agências federais apliquem consistentemente as práticas de segurança recomendadas e aumentar a automação para o monitoramento contínuo.

14. HIPAA

A HIPAA (Lei de Portabilidade e Responsabilidade do Seguro de Saúde) contém várias diretrizes para permitir que as organizações implementem controles suficientes para garantir informações de saúde de funcionários ou clientes. Os padrões da HIPAA também exigem que as organizações de saúde cumpram, pois coletam e armazenam informações de saúde para todos os pacientes. Os padrões compreendem diferentes requisitos de segurança que precisam que as organizações demonstrem um entendimento claro de como implementá-los e usá-los. Tais requisitos incluem o treinamento de funcionários de todos os níveis, as melhores práticas para coletar e armazenar dados de saúde. Além disso, o HIPAA exige que as empresas criem e mantenham procedimentos apropriados para a realização de avaliações de risco. O processo também deve incluir métodos para gerenciar riscos identificados.

15. GDPR

O GDPR (Regulamento Geral de Proteção de Dados) é uma das mais recentes estruturas promulgadas para proteger informações de identificação pessoal pertencentes a cidadãos europeus. A estrutura de regulamentação fornece um conjunto de requisitos de segurança obrigatórios que organizações em diferentes partes do mundo devem implementar. Como tal, é um quadro global que protege os dados de todos os cidadãos da UE. A não conformidade leva a enormes penalidades, e isso levou a maioria das empresas a cumprir com os requisitos. Os requisitos do GDPR incluem a implementação de controles adequados para restringir o acesso não autorizado aos dados armazenados. Essas são medidas de controle de acesso, como privilégios mínimos e controles de acesso baseados em funções e esquemas de autenticação multifator. As organizações ou sites também devem obter o consentimento do proprietário dos dados antes de poderem usá-los por razões como marketing ou publicidade. As violações de dados resultantes da incapacidade de uma empresa de implementar controles de segurança equivalem a não conformidade.

16. FISMA

A FISMA (Lei Federal de Gerenciamento de Sistemas de Informação) é um framework projetado para agências federais. O padrão de conformidade descreve um conjunto de requisitos de segurança que as agências governamentais podem usar para aprimorar sua postura de segurança cibernética. Os padrões de segurança visam determinar que as agências federais implementem medidas adequadas para proteger os sistemas de informações críticas de diferentes tipos de ataques. Além disso, o framework exige que fornecedores ou terceiros que interagem com uma agência governamental estejam em conformidade com as recomendações de segurança estipuladas. O principal objetivo do padrão de segurança é permitir que as agências federais desenvolvam e mantenham programas altamente eficazes de segurança cibernética. Para conseguir isso, o padrão consiste em uma estrutura abrangente de segurança cibernética, com nove etapas para proteger as operações do governo e os ativos de TI. Esses são:

  1. Categorizando informações com relação aos níveis de segurança

  2. Identifique controles mínimos de segurança para proteger as informações

  3. Refine os controles usando avaliações de risco

  4. Documente os controles e desenvolva um plano de segurança

  5. Implementar controles necessários

  6. Avaliar a eficácia dos controles implementados

  7. Determinar riscos de segurança para sistemas ou dados federais

  8. Autorizar o uso de sistemas de informações seguros

  9. Monitoramento contínuo dos controles implementados

17. NY DFS

O NY DFS (Departamento de Serviços Financeiros de Nova York) é um framework de segurança cibernética que abrange todas as instituições que operam sob registros, cartas constitutivas ou licenças do DFS. O framework consiste em vários requisitos de segurança cibernética que podem melhorar as posturas de segurança de organizações financeiras e de terceiros com os quais eles interagem para diferentes negócios. Entre outros, o NY DFS exige que as organizações identifiquem ameaças à segurança que podem afetar suas redes ou sistemas de informação. Além disso, a estrutura exige que as empresas adotem o framework de segurança suficiente para proteger todos os ativos de TI dos riscos identificados. Não obstante, as organizações cobertas pelo DFS de NY devem implementar sistemas para detectar eventos de segurança cibernética.

18. NERC CIP

O NERC CIP (Proteção de infraestrutura crítica da North American Electric Reliability Corporation) é um framework de cibersegurança que contém padrões para proteger infraestruturas e ativos críticos. No total, a estrutura possui nove padrões, incluindo 45 requisitos. Por exemplo, o padrão de relatório de sabotagem exige que uma organização elétrica relate ocorrências incomuns e distúrbios de segurança aos órgãos relevantes. O padrão crítico de identificação de ativos cibernéticos torna obrigatório para uma entidade documentar todos os ativos cibernéticos considerados críticos. Além disso, o padrão de pessoal e treinamento exige que os funcionários tenham acesso a ativos cibernéticos críticos para concluir o treinamento de segurança e conscientização. Outros padrões incluídos na estrutura NERC CIP são perímetro de segurança eletrônica, resposta a incidentes, gerenciamento de segurança de sistemas.

19. SCAP

O SCAP, ou Security Content Automation Protocol, é um padrão de regulamento que contém especificações de segurança para padronizar a comunicação de produtos e ferramentas de segurança. O objetivo das especificações é padronizar os processos pelos quais os programas de software de segurança comunicam problemas de segurança, informações de configuração e vulnerabilidades. Por meio das especificações padronizadas, o SCAP pretende permitir que uma empresa avalie, expresse e organize dados de segurança usando critérios e formatos universais. Dessa forma, o software de segurança pode permitir que uma empresa mantenha a segurança da empresa utilizando processos como verificar e instalar patches de segurança automaticamente. Outros estão testando e verificando as configurações de segurança dos sistemas implementados e investigando incidências que podem comprometer a segurança do sistema ou da rede.

20. ANSI

O ANSI (American National Standards Institute) framework contém padrões, informações e relatórios técnicos que descrevem os procedimentos para a implementação e manutenção dos Sistemas de Controle e Automação Industrial (IACS). A estrutura se aplica a todas as organizações que implementam ou gerenciam sistemas IACS. A estrutura consiste em quatro categorias, conforme definido pelo ANSI. A primeira categoria contém informações fundamentais, como modelos de segurança, terminologias e conceitos. A segunda categoria aborda os aspectos envolvidos na criação e manutenção de programas de segurança cibernética do SIGC. A terceira e quarta categorias descrevem os requisitos para integração segura do sistema e requisitos de segurança para o desenvolvimento do produto, respectivamente.

21. NIST SP 800-12

O framework fornece uma visão geral do controle e da segurança do computador dentro de uma organização. Além disso, o NIST SP 800-12 se concentra nos diferentes controles de segurança que uma organização pode implementar para obter uma defesa reforçada de segurança cibernética. Embora a maioria dos requisitos de controle e segurança tenha sido projetada para agências federais e governamentais, eles são altamente aplicáveis a organizações privadas que buscam aprimorar seus programas de segurança cibernética. O NIST SP 800-12 permite às empresas manter políticas e programas para proteger dados e infraestrutura de TI confidenciais.

22. NIST SP 800-14

O NIST SP 800-14 é uma publicação exclusiva que fornece descrições detalhadas dos princípios de segurança usados com freqüência. A publicação permite que as organizações entendam tudo o que precisa ser incluído nas políticas de segurança cibernética. Como resultado, as empresas garantem o desenvolvimento de políticas e programas holísticos de segurança cibernética, cobrindo dados e sistemas essenciais. Além disso, as publicações descrevem medidas específicas que as empresas devem usar para fortalecer as políticas de segurança já implementadas. No total, a estrutura do NIST SP 800-14 descreve oito princípios de segurança, com um total de 14 práticas de segurança cibernética.

23. NIST SP 800-26

Enquanto o framework do NIST SP 800-14 discute os vários princípios de segurança usados para proteger informações e ativos de TI, o NIST SP 800-26 fornece diretrizes para o gerenciamento da segurança de TI. A implementação de políticas de segurança por si só não pode permitir que uma empresa obtenha segurança cibernética ideal, pois exige avaliações e avaliações frequentes. Por exemplo, a publicação contém descrições para a realização de avaliações e práticas de risco para gerenciar riscos identificados. É uma estrutura altamente útil que garante que as organizações mantenham políticas eficazes de segurança cibernética. Uma combinação de diferentes publicações do NIST pode garantir que as empresas mantenham programas adequados de segurança cibernética.

Referência

  1. https://www.iso.org/isoiec-27001-information-security.html

  2. https://www.iso27001security.com/html/27002.html

  3. https://www.nist.gov/cyberframework

  4. https://www.iasme.co.uk/audited-iasme-governance/

  5. https://www.aicpa.org/interestareas/frc/assuranceadvisoryservices/aicpasoc2report.html

  6. https://www.cisecurity.org/controls/

  7. https://nvd.nist.gov/800-53

  8. http://www.isaca.org/cobit/pages/default.aspx

  9. https://www.coso.org/Pages/default.aspx

  10. https://www.etsi.org/cyber-security/tc-cyber-roadmap

  11. https://hitrustalliance.net/hitrust-csf/

  12. https://www.it-cisq.org/

  13. https://www.ncsc.gov.uk/collection/10-steps-to-cyber-security

  14. https://www.fedramp.gov/

  15. https://www.hhs.gov/hipaa/index.html

  16. https://gdpr-info.eu/

  17. https://www.dhs.gov/cisa/federal-information-security-modernization-act

  18. https://www.dfs.ny.gov/docs/legal/regulations/adoptions/dfsrf500txt.pdf

  19. https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-013-1.pdf

  20. https://www.open-scap.org/features/standards/

  21. https://www.ansi.org/

  22. https://csrc.nist.gov/CSRC/media/Publications/sp/800-12/rev-1/draft/documents/sp800_12_r1_draft.pdf

  23. https://ws680.nist.gov/publication/get_pdf.cfm?pub_id=890092

  24. https://csrc.nist.gov/publications/detail/sp/800-26/archive/2001-11-01


Autor: George Mutune

Artigo Original