• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Qual seguir – Cybersecurity Framework ou ISO 27001?

    Em 12 de Fevereiro de 2014, o National Institute of Standards and Technology (NIST) publicou o “Framework for Improving Critical Infrastructure Cybersecurity”, comumente conhecido como Cybersecurity Framework. Se você já trabalhou com a ISO 27001 deve estar imaginando: O que este Framework tem a ver com a ISO 27001? Deveria usar um ao invés do outro? Qual é o melhor para a minha organização?

    Visão geral

    O Cybersecurity Framework vem decorente da ordem executiva “Improving Critical Infrastructure Cybersecurity”, de 2013, do presidente dos EUA, e originalmente era destinado para as organizações dos EUA que eram consideradas parte da infraestrutura crítica. Contudo, ele é adequado para uso por qualquer organização que enfrente riscos de cibersegurança, e é voluntário.

    A ISO/IEC 27001 é uma norma de segurança da informação publicada em 2005 e revisada em 2013, publicada pela International Organization for Standardization (ISO). Embora não seja obrigatória, ela é aceita em vários países como um dos principais de facto frameworks para implementação de segurança da informação / cibersegurança. Ele descreve o sistema de gestão de segurança da informação, e coloca a segurança no contexto geral da gestão e dos processos em uma organização.

    O que o Cybersecurity Framework e a ISO 27001 tem em comum?

    Mais importante, tanto o Cybersecurity Framework quanto a ISO 27001 fornecem uma metodologia sobre como implementar a segurança da informação ou a cibersegurança em uma organização. Na verdade, você poderia implementar a segurança da informação de acordo com quaisquer um deles, e você provavelmente obteria bons resultados.

    Ambas são neutras em termos de tecnologia, aplicáveis a qualquer tipo de organização (não apenas para aquelas que são parte da infraestrutura crítica), e ambas tem o propósito de atingir benefícios de negócio ao mesmo tempo em que observam requisitos regulatórios e legais, além de requisitos de todas as partes interessadas.

    E, talvez a maior similaridade, seja que ambas são baseadas em gestão de riscos: isto significa que ambas requerem que a implementação de salvaguardas somente seja feita se riscos de cibersegurança forem detectados.

    O que o Framework possui que a ISO 27001 não tem?

    O que eu realmente gosto no Cybersecurity Framework é sua estrutura clara quando se trata de planejamento e implementação – Eu devo admitir que é melhor do que a ISO 27001 neste respeito:

    O Framework Core encontra-se dividido em Funções (Identificar, Proteger, Detectar, Responder, e Recuperar), e então em 22 Categorias relacionadas (e.g., Gestão de ativos, Gestão de riscos, etc. – muito similar as seções do Anexo A da ISO 27001), 98 Subcategorias (muito similar aos controles do Anexo A da ISO 27001), e para cada subcategoria diversas referências são feitas para outros frameworks tais como ISO 27001, COBIT, NIST SP 800-53, ISA 62443 e CCS CSC. Desta forma, é muito fácil ver o que são os requisitos para a cibersegurança, onde encontrá-los e como implementá-los.

    O Framework Implementation Tiers (Parcial, Informado sobre o Risco, Repetível e Adaptativo) explica quão profundamente a implementação da cibersegurança deveria ir. Desta forma, uma organização pode facilmente decidir até onde ela quer chegar com sua implementação, levando em conta os requisitos das várias partes interessadas.

    O Framework Profile (e.g., Profile Atual, Profile Alvo) facilmente ilustra onde a organização encontra-se no momento, em relação as categorias e subcategorias do Framework Core, e onde ela quer chegar. Desta forma, é muito fácil ver onde as lacunas estão, e então planos de ação podem ser desenvolvidos para eliminar essas lacunas.

    Adicionalmente, o Framesita Profiles podem ser utilizados para definir requisitos mínimos para outras organizações – e.g., fornecedores ou parceiros, e tal técnica infelizmente não existe na ISO 27001.

    De modo geral, o Cybersecurity Framework capacita a alta administração, engenheiros e outras equipes de TI a entender facilmente o que é para ser implementado, e onde as lacunas estão.

    Onde a ISO 27001 é melhor

    Uma das maiores vantagens da ISO 27001 é que organizações podem ser certificadas por ela – isto significa que uma organização pode provar aos seus clientes, parceiros, acionistas, agências governamentais e outros, que ela pode de fato manter suas informações seguras.

    Adicionalmente, a ISO 27001 é uma norma reconhecida e aceita internacionalmente – se uma organização dos EUS quer provar sua capacidade para seus clientes, parceiros e agências governamentais fora do Estados Unidos, a ISO 27001 será bem melhor dos que Cybersecurity Framework.

    A ISO 27001 se concentra em proteger todos os tipos de informação, não apenas aquelas armazenadas ou processadas em sistemas de TI. É verdade que informações em papel tem cada vez menos importância, mas para algumas organizações tais informações ainda podem representar ricos significativos.

    Diferentemente do Cybersecurity Framework, a ISO 27001 define claramente quais documentos e registros são necessários, e quais os mínimos que devem ser implementados. Veja também o artigo Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013).

    Finalmente, se o Framework se concentra apenas em como planejar e implementar a cibersegurança, a ISO 27001 utiliza uma abordagem muito mais ampla– sua metodologia é baseada no ciclo PDCA, o que significa que ela constrói um sistema de gestão que não apenas planeja e implementa a cibersegurança, mas que também mantém e melhora todo o sistema. Isto porque a prática tem mostrado que não basta apenas planejar e implementar um sistema, porque sem medições constantes, revisões, auditorias, ações corretivas e melhorias, tal sistema irá gradualmente se deteriorar e finalmente perder o seu propósito. Saiba mais aqui: Lista de verificação para implementação da ISO 27001.

    Cybersecurity Framework ou ISO 27001?

    Bem, eu diria que não é uma questão de “um ou outro” – me parece que seria melhor combinar os dois. (A propósito, o Cybersecurity Framework sugere que ele pode ser facilmente complementado por outros programas ou sistemas, e a ISO 27001 já se provou ser um bom framework guarda-chuva para diferentes metodologias de segurança.)

    O Cybersecurity Framework é melhor quando ele vem para estruturar áreas de segurança que estão para serem implementadas e quando o propósito é definir exatamente os perfis de segurança que devem ser atingidos; a ISO 27001 é melhor para se obter uma imagem holística: para projetar um sistema dentro do qual a segurança pode ser gerenciada no longo prazo.

    Desta forma, eu entendo que os melhores resultados podem ser atingidos se o projeto de toda a segurança da informação / cibersegurança fosse definido de acordo com a ISO 27001 (cláusulas 4, 5, 7, 9 e 10), e o Cybersecurity Framework fosse utilizado quando do levantamento de riscos e da implementação de áreas e salvaguarda de cibersegurança em particular. Claro que a prática irá mostrar como o Cybersecurity Framework funciona na vida real, e se este tipo de combinação faz sentido. Qual a sua opinião?

    Para um melhor entendimento sobre como implementar a cibersegurança, veja este eBook gratuito 9 Steps to Cybersecurity.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan:
    Tag: #ISO 27001