O que é Open FAIR™ e Quem é o Grupo Aberto?. jpg

Os Profissionais de Risco devem ser informados sobre o corpo de conhecimento da Open FAIR e o papel que o Grupo Aberto desempenhou na criação de um conjunto de padrões e melhores práticas abertas e neutras para fornecedores na área de Análise de Riscos. Para quem não conhece o Grupo Aberto, nosso Fórum de Segurança criou padrões e melhores práticas na área de Segurança e Risco por mais de 20 anos. O Grupo Aberto é uma organização baseada em consenso e orientada a membros. Nosso interesse em Análise de Risco remonta a muitos anos, pois nossa associação viu a necessidade de fornecer melhores métodos para ajudar as organizações a entender o nível de risco presente em seus ambientes de TI. A associação do Grupo Aberto inclui mais de 550 organizações membros do lado da compra e do lado da oferta do setor de TI. O Fórum de Segurança conta atualmente com mais de 80 organizações membros ativas contribuindo para o nosso trabalho.

Uma História da Feira Aberta e o Grupo Aberto

Em 2007, o presidente do Fórum de Segurança, Mike Jerbic, chamou a nossa atenção para a Análise de Fatores do Risco de Informação (FAIR) e sugeriu que poderia ser uma taxonomia e método interessante de Análise de Risco para considerar como um possível padrão aberto nesta área. O autor original da FAIR, Jack Jones, e seu então parceiro Alex Hutton concordaram em se juntar ao The Open Group como membros, e contribuir com o FAIR IP como base para um possível padrão de taxonomia de risco aberto.

Durante um período de tempo, a adesão ao Fórum de Segurança trabalhou para criar um padrão composto por aspectos relevantes da FAIR (isso inicialmente significava a Taxonomia de Risco JUSTO). O resultado deste trabalho foi a eventual publicação da primeira versão do Padrão de Taxonomia de Risco (O-RT), que foi publicado em janeiro de 2009. Em 2012, o Fórum de Segurança decidiu criar um programa de certificação de profissionais da metodologia FAIR, e empreendeu alguns esforços relacionados para atualizar o Padrão de Taxonomia de Risco e criar um padrão complementar, o Padrão de Análise de Risco (O-RA). A O-RA fornece orientações sobre os aspectos do processo de Análise de Risco que faltam no O-RT, incluindo coisas como medição e calibração de riscos, o processo de Análise de Risco e considerações de controle relativas à Análise de Risco. O padrão O-RT atualizado e o padrão O-RA foram publicados no final de 2013, e as normas estão disponíveis aqui:

  1. Análise de Risco C13G (O-RA)
  2. Taxonomia de risco C13K (O-RT), Versão 2.0

Nós nos referimos coletivamente a esses dois padrões como o corpo de conhecimento open fair. No final de 2013, também iniciamos a operação do Programa de Certificação Open FAIR para Analistas de Risco. No início de 2014, iniciamos o desenvolvimento de um programa de credenciamento para cursos de treinamento credenciados open FAIR. A lista atual de cursos de Open FAIR credenciados está aqui. Se você está com uma organização de treinamento e quer explorar o credenciamento, por favor, sinta-se livre para entrar em contato conosco, e podemos fornecer detalhes. Também criamos um material de curso Open FAIR licenciado que pode permitir que você comece rapidamente com o treinamento no Open FAIR. Os artigos futuros se aprofundarão no programa de certificação Open FAIR e na oportunidade de treinamento credenciada. Vale a pena notar neste momento que também produzimos alguns guias open fair que são úteis para os candidatos que buscam certificar-se para Open FAIR. Estes são acessíveis através dos links abaixo, e estão disponíveis a um custo nominal de nosso parceiro de publicação Van Haren.

  1. Guia de Estudos da Fundação Open FAIR B140
  2. G144 Um Guia de Bolso para o Corpo de Conhecimento aberto da FEIRA

Além dos padrões e do trabalho do programa de certificação, o Grupo Aberto produziu uma série de outras publicações úteis relacionadas ao Risco, Segurança e ao uso de Open FAIR. Estes incluem o seguinte, todos os quais estão disponíveis como downloads gratuitos:

  1. W148 Uma Introdução ao Corpo aberto do conhecimento
  2. C103 FAIR - ISO/IEC 27005 Cookbook
  3. G167 The Open FAIR™ – NIST Cybersecurity Framework Cookbook
  4. G152 Integrando Risco e Segurança dentro de uma arquitetura corporativa TOGAF®
  5. Requisitos do G081 para metodologias de avaliação de risco
  6. W150 Modelando gerenciamento de riscos corporativos e segurança com a linguagem ArchiMate®

Outros grupos de trabalho active open FAIR no Fórum de Segurança

Além das normas e melhores práticas descritas acima, o Grupo Aberto possui grupos de trabalho ativos desenvolvendo os seguintes itens relacionados. Fique ligado para mais detalhes dessas atividades. Se algum dos projetos a seguir for de interesse da sua organização, sinta-se à vontade para entrar em contato para saber mais.

  1. Abra FAIR para stix mapeamento whitepaper. Este grupo está escrevendo um whitepaper que mapeia o Open FAIR Risk Taxonomy Standard (O-RT) para STIX, um padrão que se originou na MITRE, e está sendo desenvolvido pela OASIS.
  2. Projeto Open FAIR Process Guide - Este grupo está escrevendo um guia de processo para a realização de Análise de Risco baseada em OPEN FAIR. Este guia preenche uma lacuna em nossos padrões e práticas recomendadas, fornecendo um guia de processo “como fazer”.
  3. Ferramenta de Análise de Risco Open Source Open FAIR - Uma ferramenta básica de Análise de Risco Open FAIR está sendo desenvolvida para estudantes e indústria.
  4. Programa Acadêmico - Um programa está sendo criado no Grupo Aberto para apoiar a participação de alunos ativos em atividades de risco dentro do Fórum de Segurança. A missão é promover o desenvolvimento da próxima geração de praticantes de segurança e experiência dentro de um órgão de padrões.
  5. Integração de Segurança e Risco no TOGAF®, um padrão open group. Este projeto está trabalhando para garantir que as versões futuras do padrão TOGAF abordarão de forma abrangente a segurança e o risco.

Como fazemos o que fazemos

O Open Group Security Forum é um grupo liderado por membros que visa ajudar os membros a cumprir seus objetivos de negócios através do desenvolvimento de padrões e melhores práticas. Nos últimos anos, o foco do nosso trabalho tem sido nas áreas de gerenciamento de riscos, arquitetura de segurança e gerenciamento de segurança da informação e melhores práticas. ‘Liderado por membros’ significa que os membros conduzem o programa de trabalho, propondo projetos que os ajudem a cumprir seus objetivos como CISO’s, Arquitetos de Segurança, Gerentes de Risco ou equipe operacional de segurança da informação. Todas as nossas orientações de padrões e melhores práticas são desenvolvidas usando nosso processo de padrões abertos e baseados em consenso.

O processo de desenvolvimento de padrões no Grupo Aberto permite que os membros colaborem efetivamente para desenvolver padrões e melhores práticas que abdoram questões reais dos negócios. Na área de Gestão de Riscos, a maioria das publicações mencionadas acima foram criadas porque os membros viram a necessidade de determinar como aplicar o Open FAIR no contexto de outras normas ou frameworks e, em seguida, aproveitaram toda a adesão ao Fórum de Segurança para produzir orientações úteis.

Também vale a pena notar que colaboramos muito com outras partes do Grupo Aberto, inclusive com o Fórum de Arquitetura sobre a integração de Risco e Segurança com a TOGAF®, com o ArchiMate™ Forum sobre o uso do ArchiMate, um padrão Open Group, para modelar Risco e Segurança, com o Fórum Plataforma Aberta 3.0™ e com outros Fóruns. Também temos uma série de organizações externas com as qual trabalhamos, incluindo sira, ISACA e, claro, o FAIR Institute na área de Gestão de Riscos.

O caminho a seguir para feira aberta

Nosso futuro trabalho na área de Análise de Risco provavelmente incluirá outros guias de livro de receitas, mostrando como usar o Open FAIR com outros padrões e frameworks. Estamos comprometidos em atender às necessidades da indústria, e todo o nosso trabalho vem de membros descrevendo uma necessidade em uma determinada área. Então, na área de Gestão de Riscos, adoraríamos ouvir de você quais são suas necessidades, e ainda mais, ter você contribuindo para o desenvolvimento de novos materiais.

Para mais informações, fique à vontade para entrar em contato comigo diretamente por e-mail ou via linkedin.

Tópicos: FAIR, Gestão de Riscos

Jim Hietala

Written by

Jim Hietala, Open FAIR, CISSP, GSEC, is Vice President, Business Development and Security for The Open Group, where he manages the business team, as well as Security and Risk Management programs and standards activities, He has participated in the development of several industry standards including O-ISM3, O-ESA, O-RT (Risk Taxonomy Standard), O-RA (Risk Analysis Standard), and O-ACEML. He also led the development of compliance and audit guidance for the Cloud Security Alliance v2 publication. Jim is a frequent speaker at industry conferences. He has participated in the SANS Analyst/Expert program, having written several research white papers and participated in several webcasts for SANS. He has also published numerous articles on information security, risk management, and compliance topics in publications including CSO, The ISSA Journal, Bank Accounting & Finance, Risk Factor, SC Magazine, and others. An IT security industry veteran, he has held leadership roles at several IT security vendors. Jim holds a B.S. in Marketing from Southern Illinois University.

Artigo Original