Em 12 de Fevereiro de 2014, o National Institute of Standards and Technology (NIST) publicou o “Framework for Improving Critical Infrastructure Cybersecurity”, comumente conhecido como Cybersecurity Framework. Se você já trabalhou com a ISO 27001 deve estar imaginando: O que este Framework tem a ver com a ISO 27001? Deveria usar um ao invés do outro? Qual é o melhor para a minha organização?
Visão geral
O Cybersecurity Framework vem decorente da ordem executiva “Improving Critical Infrastructure Cybersecurity”, de 2013, do presidente dos EUA, e originalmente era destinado para as organizações dos EUA que eram consideradas parte da infraestrutura crítica. Contudo, ele é adequado para uso por qualquer organização que enfrente riscos de cibersegurança, e é voluntário.
A ISO/IEC 27001 é uma norma de segurança da informação publicada em 2005 e revisada em 2013, publicada pela International Organization for Standardization (ISO). Embora não seja obrigatória, ela é aceita em vários países como um dos principais de facto frameworks para implementação de segurança da informação / cibersegurança. Ele descreve o sistema de gestão de segurança da informação, e coloca a segurança no contexto geral da gestão e dos processos em uma organização.
O que o Cybersecurity Framework e a ISO 27001 tem em comum?
Mais importante, tanto o Cybersecurity Framework quanto a ISO 27001 fornecem uma metodologia sobre como implementar a segurança da informação ou a cibersegurança em uma organização. Na verdade, você poderia implementar a segurança da informação de acordo com quaisquer um deles, e você provavelmente obteria bons resultados.
Ambas são neutras em termos de tecnologia, aplicáveis a qualquer tipo de organização (não apenas para aquelas que são parte da infraestrutura crítica), e ambas tem o propósito de atingir benefícios de negócio ao mesmo tempo em que observam requisitos regulatórios e legais, além de requisitos de todas as partes interessadas.
E, talvez a maior similaridade, seja que ambas são baseadas em gestão de riscos: isto significa que ambas requerem que a implementação de salvaguardas somente seja feita se riscos de cibersegurança forem detectados.
O que o Framework possui que a ISO 27001 não tem?
O que eu realmente gosto no Cybersecurity Framework é sua estrutura clara quando se trata de planejamento e implementação – Eu devo admitir que é melhor do que a ISO 27001 neste respeito:
O Framework Core encontra-se dividido em Funções (Identificar, Proteger, Detectar, Responder, e Recuperar), e então em 22 Categorias relacionadas (e.g., Gestão de ativos, Gestão de riscos, etc. – muito similar as seções do Anexo A da ISO 27001), 98 Subcategorias (muito similar aos controles do Anexo A da ISO 27001), e para cada subcategoria diversas referências são feitas para outros frameworks tais como ISO 27001, COBIT, NIST SP 800-53, ISA 62443 e CCS CSC. Desta forma, é muito fácil ver o que são os requisitos para a cibersegurança, onde encontrá-los e como implementá-los.
O Framework Implementation Tiers (Parcial, Informado sobre o Risco, Repetível e Adaptativo) explica quão profundamente a implementação da cibersegurança deveria ir. Desta forma, uma organização pode facilmente decidir até onde ela quer chegar com sua implementação, levando em conta os requisitos das várias partes interessadas.
O Framework Profile (e.g., Profile Atual, Profile Alvo) facilmente ilustra onde a organização encontra-se no momento, em relação as categorias e subcategorias do Framework Core, e onde ela quer chegar. Desta forma, é muito fácil ver onde as lacunas estão, e então planos de ação podem ser desenvolvidos para eliminar essas lacunas.
Adicionalmente, o Framesita Profiles podem ser utilizados para definir requisitos mínimos para outras organizações – e.g., fornecedores ou parceiros, e tal técnica infelizmente não existe na ISO 27001.
De modo geral, o Cybersecurity Framework capacita a alta administração, engenheiros e outras equipes de TI a entender facilmente o que é para ser implementado, e onde as lacunas estão.
Onde a ISO 27001 é melhor
Uma das maiores vantagens da ISO 27001 é que organizações podem ser certificadas por ela – isto significa que uma organização pode provar aos seus clientes, parceiros, acionistas, agências governamentais e outros, que ela pode de fato manter suas informações seguras.
Adicionalmente, a ISO 27001 é uma norma reconhecida e aceita internacionalmente – se uma organização dos EUS quer provar sua capacidade para seus clientes, parceiros e agências governamentais fora do Estados Unidos, a ISO 27001 será bem melhor dos que Cybersecurity Framework.
A ISO 27001 se concentra em proteger todos os tipos de informação, não apenas aquelas armazenadas ou processadas em sistemas de TI. É verdade que informações em papel tem cada vez menos importância, mas para algumas organizações tais informações ainda podem representar ricos significativos.
Diferentemente do Cybersecurity Framework, a ISO 27001 define claramente quais documentos e registros são necessários, e quais os mínimos que devem ser implementados. Veja também o artigo Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013).
Finalmente, se o Framework se concentra apenas em como planejar e implementar a cibersegurança, a ISO 27001 utiliza uma abordagem muito mais ampla– sua metodologia é baseada no ciclo PDCA, o que significa que ela constrói um sistema de gestão que não apenas planeja e implementa a cibersegurança, mas que também mantém e melhora todo o sistema. Isto porque a prática tem mostrado que não basta apenas planejar e implementar um sistema, porque sem medições constantes, revisões, auditorias, ações corretivas e melhorias, tal sistema irá gradualmente se deteriorar e finalmente perder o seu propósito. Saiba mais aqui: Lista de verificação para implementação da ISO 27001.
Cybersecurity Framework ou ISO 27001?
Bem, eu diria que não é uma questão de “um ou outro” – me parece que seria melhor combinar os dois. (A propósito, o Cybersecurity Framework sugere que ele pode ser facilmente complementado por outros programas ou sistemas, e a ISO 27001 já se provou ser um bom framework guarda-chuva para diferentes metodologias de segurança.)
O Cybersecurity Framework é melhor quando ele vem para estruturar áreas de segurança que estão para serem implementadas e quando o propósito é definir exatamente os perfis de segurança que devem ser atingidos; a ISO 27001 é melhor para se obter uma imagem holística: para projetar um sistema dentro do qual a segurança pode ser gerenciada no longo prazo.
Desta forma, eu entendo que os melhores resultados podem ser atingidos se o projeto de toda a segurança da informação / cibersegurança fosse definido de acordo com a ISO 27001 (cláusulas 4, 5, 7, 9 e 10), e o Cybersecurity Framework fosse utilizado quando do levantamento de riscos e da implementação de áreas e salvaguarda de cibersegurança em particular. Claro que a prática irá mostrar como o Cybersecurity Framework funciona na vida real, e se este tipo de combinação faz sentido. Qual a sua opinião?
Para um melhor entendimento sobre como implementar a cibersegurança, veja este eBook gratuito 9 Steps to Cybersecurity.
Nós agradecemos a Rhand Leal pela tradução para o português.