Norma de Boas Práticas de Segurança da Informação 2020
O guia definitivo para responder a ameaças, tecnologia e conformidade em rápida evolução.
O Padrão de Boas Práticas para Segurança da Informação 2020 (SOGP 2020) fornece controles e orientações abrangentes sobre tópicos atuais e emergentes de segurança da informação, permitindo que as organizações respondam ao ritmo acelerado em que as ameaças, a tecnologia e os riscos evoluem. A implementação do SOGP 2020 ajuda as organizações a:
– ser ágil e explorar novas oportunidades, garantindo que os riscos de informação associados sejam gerenciados dentro de níveis aceitáveis – responder a ameaças em rápida evolução, incluindo ataques sofisticados de segurança cibernética, usando inteligência de ameaças para aumentar a resiliência cibernética – identificar como os requisitos regulamentares e de conformidade podem ser melhor atendidos.
A última edição do SOGP 2020 inclui cobertura aprimorada dos seguintes tópicos importantes: proteção de serviços em nuvem, execução de um Centro de Operações de Segurança, proteção de dispositivos móveis, programas de garantia de segurança, gerenciamento de ativos e gerenciamento de fornecedores.
O ISF SOGP, juntamente com o ISF Benchmark; uma ferramenta abrangente de avaliação de controle de segurança, fornece cobertura completa dos tópicos estabelecidos na ISO/IEC 27002:2013, NIST Cybersecurity Framework, CIS Top 20, PCI DSS e COBIT 5 para Segurança da Informação.
PADRÃO ISF DE BOAS PRÁTICAS PARA SEGURANÇA DA INFORMAÇÃO 2020
UM HABILITADOR DA SEGURANÇA DA INFORMAÇÃO
O Padrão de Boas Práticas da ISF para Segurança da Informação 2020 é a principal autoridade em segurança da informação.
Sua orientação prática e confiável ajuda as organizações a extrair boas práticas relevantes para sustentar qualquer nova iniciativa em seu programa de segurança da informação.
O SOGP fornece cobertura completa dos tópicos estabelecidos na ISO/IEC 27002:2013, NIST Cybersecurity Framework, CIS Top 20, PCI DSS e COBIT 5 para Segurança da Informação
1 | RESILIÊNCIA
O SOGP fornece uma estrutura pronta que pode ajudar uma organização a melhorar sua resiliência, preparando, gerenciando e respondendo a grandes incidentes que podem ter um impacto significativo a negócios.
Para conseguir isso, o SOGP oferece ampla cobertura de tópicos de segurança da informação, incluindo aqueles associados à estratégia de segurança, gerenciamento de incidentes, continuidade de negócios, resiliência cibernética e gerenciamento de crises
2 | AVALIAÇÃO DE RISCO
O conteúdo atual e abrangente do SOGP, quando combinado com a ISF Information Risk Assessment Methodology 2 (IRAM2), pode sustentar as atividades de avaliação de risco de uma organização, incluindo a identificação de impactos nos negócios, o perfil das principais ameaças e a avaliação de vulnerabilidades.
Quaisquer riscos identificados podem ser tratados usando os controles do SOGP, permitindo que uma organização obtenha economia de eficiência e forneça proteção consistente de acordo com seu apetite de risco organizacional
3 | GESTÃO DA CADEIA DE ABASTECIMENTO
O SOGP oferece uma solução fácil de implementar para garantir que a cadeia de suprimentos de uma organização incorpore uma abordagem baseada em risco para a segurança da informação. Também pode ser usado como base para entender e avaliar o nível de segurança da informação implementado por fornecedores externos, incluindo provedores de serviços em nuvem.
Usado em combinação com as ferramentas do acelerador ISF Supply Chain e o Benchmark, o SOGP permite que uma organização implemente proteção totalmente alinhada com a ISO/IEC 27036-3:2013 (abrangendo relacionamentos com fornecedores).
4 | COMPLIANCE
O SOGP é uma ferramenta ideal para ajudar a se preparar para a certificação ISO/IEC 27001:2013 e alcançar a conformidade com outros padrões relevantes (por exemplo, PCI DSS). Ele está alinhado com os principais padrões de segurança da informação no conjunto ISO/IEC 27000, incluindo governança de segurança e relacionamento com fornecedores.
O SOGP abrange tópicos importantes não encontrados na ISO/IEC 27002, incluindo proteção de serviços em nuvem, execução de um Centro de Operações de Segurança ou proteção de dispositivos móveis.
5 | POLÍTICAS, NORMAS E PROCEDIMENTOS
O SOGP pode ser adotado diretamente como base de uma política de segurança da informação nova ou existente. É uma ferramenta eficaz para identificar lacunas e reduz o tempo e o esforço necessários para produzir políticas, padrões e procedimentos de segurança da informação.
A harmonização de políticas internas em toda a organização ajuda a fornecer um nível consistente e equilibrado de proteção de informações.
6 | CONHECIMENTO
Adotar o SOGP reduz a necessidade de desenvolver conteúdo de conscientização de segurança do zero. O SOGP abrange tópicos que podem ser usados para melhorar a conscientização de segurança e alcançar o comportamento de segurança esperado entre muitos públicos diferentes em uma organização, incluindo usuários de negócios, especialistas técnicos, gerenciamento sênior, desenvolvedores de sistemas e provedores de serviços de TI.
Ele também aborda como a segurança da informação deve ser aplicada em ambientes de negócios locais que normalmente exigem atividades de conscientização personalizadas
7 | ACORDOS DE SEGURANÇA
O SOGP é um guia de referência completo e atualizado para o desenvolvimento de novos arranjos de segurança ou melhoria dos já existentes à medida que as circunstâncias mudam (por exemplo, como resultado do aumento de ameaças cibernéticas, uso de serviços em nuvem ou dependência de dispositivos móveis no local de trabalho). Seus tópicos de segurança diretos e intuitivos permitem a extração de boas práticas relevantes para sustentar qualquer nova iniciativa em um programa de segurança da informação.
O SOGP pode ajudar uma organização a responder às mudanças nas circunstâncias, acelerando as iniciativas de segurança da informação e evitando incidentes potencialmente dispendiosos, impacto operacional e danos à marca e à reputação.
8 | AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO
O SOGP é integrado ao Benchmark, fornecendo avaliações detalhadas de nível médio e alto da força dos controles de segurança da informação – seja em uma organização, localmente ou contra seus pares (por exemplo, organizações no mesmo setor ou região geográfica).
O uso do SOGP em conjunto com o Benchmark fornece uma análise significativa e objetiva do verdadeiro nível de segurança em uma organização que pode ser relatada à gerência executiva e às partes interessadas
ONDE SERÁ O PRÓXIMO?
A Norma de Boas Práticas para Segurança da Informação 2020 (SOGP 2020) é a fonte mais abrangente e atual de controles de segurança da informação. O SOGP é atualizado a cada dois anos para refletir o cenário internacional em evolução da legislação e padrões relacionados à segurança da informação.
Essas atualizações incluem as descobertas mais recentes do programa de pesquisa da ISF, contribuições de nossas organizações membros, tendências do ISF Benchmark e principais desenvolvimentos externos, incluindo nova legislação, mudanças na regulamentação e lançamentos de outros padrões relacionados à segurança da informação.
As boas práticas descritas no SOGP normalmente serão incorporadas aos processos de negócios de uma organização, política de segurança da informação, gerenciamento de riscos e acordos de conformidade.
Consequentemente, o SOGP é valioso para uma variedade de indivíduos-chave ou partes externas, incluindo Diretores de Segurança da Informação (ou equivalente), gerentes de segurança da informação, especialistas em gerenciamento de risco, gerentes de negócios, gerentes de TI e especialistas técnicos, auditores internos e externos, serviços de TI fornecedores e equipes de compras e gerenciamento de fornecedores.
A ISF incentiva a colaboração em suas pesquisas e ferramentas. Os membros são convidados a participar da comunidade The Standard of Good Practice for Information Security no ISF Live para compartilhar suas experiências.
Os serviços de consultoria da ISF fornecem aos membros e não membros a oportunidade de adquirir atividades de suporte profissional de curto prazo para complementar a implementação dos produtos da ISF.
O relatório está disponível gratuitamente para os membros da ISF e pode ser baixado no site dos membros da ISF www.isflive.org. Os não membros interessados em adquirir o relatório devem entrar em contato com Steve Durbin em steve.durbin@securityforum.org.
FÓRUM DE SEGURANÇA DA INFORMAÇÃO (ISF)
Fundada em 1989, a ISF é uma associação independente e sem fins lucrativos de organizações líderes de todo o mundo. A organização dedica-se a investigar, esclarecer e resolver questões-chave em cibersegurança, segurança da informação e gestão de riscos e desenvolver metodologias, processos e soluções de melhores práticas que atendam às necessidades de negócios de seus membros.
Os membros da ISF se beneficiam do aproveitamento e compartilhamento de conhecimento profundo e experiência prática extraída de suas organizações e desenvolvida por meio de uma extensa pesquisa e programa de trabalho. A ISF fornece um fórum e uma estrutura confidenciais, que garantem que os membros adotem estratégias e soluções de segurança da informação de ponta.
Ao trabalharem juntos, os membros da ISF evitam os grandes gastos necessários para atingir os mesmos objetivos por conta própria.
Os serviços de consultoria estão disponíveis para apoiar a implementação dos produtos ISF.
AVISO LEGAL
Este documento foi publicado apenas para fornecer informações gerais. Não se destina a fornecer conselhos de qualquer tipo. Nem o Information Security Forum nem o Information Security Forum Limited aceitam qualquer responsabilidade pelas consequências de qualquer uso que você faça das informações contidas neste documento.
-
REFERENCE: ISF 20 03 10 CLASSIFICATION: Public, no restrictions - ©2020 Information Security Forum Limited