{"id":4590,"date":"2014-02-25T11:40:22","date_gmt":"2014-02-25T11:40:22","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/014\/02\/25\/qual-seguir-cybersecurity-framework-ou-iso-27001\/"},"modified":"2022-12-29T08:39:36","modified_gmt":"2022-12-29T08:39:36","slug":"qual-seguir-cybersecurity-framework-ou-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2014\/02\/25\/qual-seguir-cybersecurity-framework-ou-iso-27001\/","title":{"rendered":"Qual seguir \u2013 Cybersecurity Framework ou ISO 27001?"},"content":{"rendered":"

Em 12 de Fevereiro de 2014, o National Institute of Standards and Technology (NIST) publicou o \u201cFramework for Improving Critical Infrastructure Cybersecurity\u201d, comumente conhecido como Cybersecurity Framework<\/a>. Se voc\u00ea j\u00e1 trabalhou com a ISO 27001 deve estar imaginando: O que este Framework tem a ver com a ISO 27001? Deveria usar um ao inv\u00e9s do outro? Qual \u00e9 o melhor para a minha organiza\u00e7\u00e3o?<\/p>\n

Vis\u00e3o geral<\/h2>\n

O Cybersecurity Framework vem decorente da ordem executiva \u201cImproving Critical Infrastructure Cybersecurity\u201d, de 2013, do presidente dos EUA, e originalmente era destinado para as organiza\u00e7\u00f5es dos EUA que eram consideradas parte da infraestrutura cr\u00edtica. Contudo, ele \u00e9 adequado para uso por qualquer organiza\u00e7\u00e3o que enfrente riscos de ciberseguran\u00e7a, e \u00e9 volunt\u00e1rio.<\/p>\n

A ISO\/IEC 27001<\/a> \u00e9 uma norma de seguran\u00e7a da informa\u00e7\u00e3o publicada em 2005 e revisada em 2013, publicada pela International Organization for Standardization (ISO). Embora n\u00e3o seja obrigat\u00f3ria, ela \u00e9 aceita em v\u00e1rios pa\u00edses como um dos principais de facto frameworks para implementa\u00e7\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o \/ ciberseguran\u00e7a. Ele descreve o sistema de gest\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o, e coloca a seguran\u00e7a no contexto geral da gest\u00e3o e dos processos em uma organiza\u00e7\u00e3o.<\/p>\n

O que o Cybersecurity Framework e a ISO 27001 tem em comum?<\/h2>\n

Mais importante, tanto o Cybersecurity Framework quanto a ISO 27001 fornecem uma metodologia sobre como implementar a seguran\u00e7a da informa\u00e7\u00e3o ou a ciberseguran\u00e7a em uma organiza\u00e7\u00e3o. Na verdade, voc\u00ea poderia implementar a seguran\u00e7a da informa\u00e7\u00e3o de acordo com quaisquer um deles, e voc\u00ea provavelmente obteria bons resultados.<\/p>\n

Ambas s\u00e3o neutras em termos de tecnologia, aplic\u00e1veis a qualquer tipo de organiza\u00e7\u00e3o (n\u00e3o apenas para aquelas que s\u00e3o parte da infraestrutura cr\u00edtica), e ambas tem o prop\u00f3sito de atingir benef\u00edcios de neg\u00f3cio ao mesmo tempo em que observam requisitos regulat\u00f3rios e legais, al\u00e9m de requisitos de todas as partes interessadas.<\/p>\n

E, talvez a maior similaridade, seja que ambas s\u00e3o baseadas em gest\u00e3o de riscos: isto significa que ambas requerem que a implementa\u00e7\u00e3o de salvaguardas somente seja feita se riscos de ciberseguran\u00e7a forem detectados.<\/p>\n

O que o Framework possui que a ISO 27001 n\u00e3o tem?<\/h2>\n

O que eu realmente gosto no Cybersecurity Framework \u00e9 sua estrutura clara quando se trata de planejamento e implementa\u00e7\u00e3o \u2013 Eu devo admitir que \u00e9 melhor do que a ISO 27001 neste respeito:<\/p>\n

O Framework Core<\/b> encontra-se dividido em Fun\u00e7\u00f5es (Identificar, Proteger, Detectar, Responder, e Recuperar), e ent\u00e3o em 22 Categorias relacionadas (e.g., Gest\u00e3o de ativos, Gest\u00e3o de riscos, etc. \u2013 muito similar as se\u00e7\u00f5es do Anexo A da ISO 27001), 98 Subcategorias (muito similar aos controles do Anexo A da ISO 27001), e para cada subcategoria diversas refer\u00eancias s\u00e3o feitas para outros frameworks tais como ISO 27001, COBIT, NIST SP 800-53, ISA 62443 e CCS CSC. Desta forma, \u00e9 muito f\u00e1cil ver o que s\u00e3o os requisitos para a ciberseguran\u00e7a, onde encontr\u00e1-los e como implement\u00e1-los.<\/p>\n

O Framework Implementation Tiers<\/b> (Parcial, Informado sobre o Risco, Repet\u00edvel e Adaptativo) explica qu\u00e3o profundamente a implementa\u00e7\u00e3o da ciberseguran\u00e7a deveria ir. Desta forma, uma organiza\u00e7\u00e3o pode facilmente decidir at\u00e9 onde ela quer chegar com sua implementa\u00e7\u00e3o, levando em conta os requisitos das v\u00e1rias partes interessadas.<\/p>\n

O Framework Profile<\/b> (e.g., Profile Atual, Profile Alvo) facilmente ilustra onde a organiza\u00e7\u00e3o encontra-se no momento, em rela\u00e7\u00e3o as categorias e subcategorias do Framework Core, e onde ela quer chegar. Desta forma, \u00e9 muito f\u00e1cil ver onde as lacunas est\u00e3o, e ent\u00e3o planos de a\u00e7\u00e3o podem ser desenvolvidos para eliminar essas lacunas.<\/p>\n

Adicionalmente, o Framesita Profiles podem ser utilizados para definir requisitos m\u00ednimos para outras organiza\u00e7\u00f5es – e.g., fornecedores ou parceiros, e tal t\u00e9cnica infelizmente n\u00e3o existe na ISO 27001.<\/p>\n

De modo geral, o Cybersecurity Framework capacita a alta administra\u00e7\u00e3o, engenheiros e outras equipes de TI a entender facilmente o que \u00e9 para ser implementado, e onde as lacunas est\u00e3o.<\/p>\n

Onde a ISO 27001 \u00e9 melhor<\/h2>\n

Uma das maiores vantagens da ISO 27001 \u00e9 que organiza\u00e7\u00f5es podem ser certificadas por ela \u2013 isto significa que uma organiza\u00e7\u00e3o pode provar aos seus clientes, parceiros, acionistas, ag\u00eancias governamentais e outros, que ela pode de fato manter suas informa\u00e7\u00f5es seguras.<\/p>\n

Adicionalmente, a ISO 27001 \u00e9 uma norma reconhecida e aceita internacionalmente \u2013 se uma organiza\u00e7\u00e3o dos EUS quer provar sua capacidade para seus clientes, parceiros e ag\u00eancias governamentais fora do Estados Unidos, a ISO 27001 ser\u00e1 bem melhor dos que Cybersecurity Framework.<\/p>\n

A ISO 27001 se concentra em proteger todos os tipos de informa\u00e7\u00e3o, n\u00e3o apenas aquelas armazenadas ou processadas em sistemas de TI. \u00c9 verdade que informa\u00e7\u00f5es em papel tem cada vez menos import\u00e2ncia, mas para algumas organiza\u00e7\u00f5es tais informa\u00e7\u00f5es ainda podem representar ricos significativos.<\/p>\n

Diferentemente do Cybersecurity Framework, a ISO 27001 define claramente quais documentos e registros s\u00e3o necess\u00e1rios, e quais os m\u00ednimos que devem ser implementados. Veja tamb\u00e9m o artigo Lista de documentos obrigat\u00f3rios requeridos pela ISO 27001 (revis\u00e3o de 2013)<\/a>.<\/p>\n

Finalmente, se o Framework se concentra apenas em como planejar e implementar a ciberseguran\u00e7a, a ISO 27001 utiliza uma abordagem muito mais ampla\u2013 sua metodologia \u00e9 baseada no ciclo PDCA, o que significa que ela constr\u00f3i um sistema de gest\u00e3o que n\u00e3o apenas planeja e implementa a ciberseguran\u00e7a, mas que tamb\u00e9m mant\u00e9m e melhora todo o sistema. Isto porque a pr\u00e1tica tem mostrado que n\u00e3o basta apenas planejar e implementar um sistema, porque sem medi\u00e7\u00f5es constantes, revis\u00f5es, auditorias, a\u00e7\u00f5es corretivas e melhorias, tal sistema ir\u00e1 gradualmente se deteriorar e finalmente perder o seu prop\u00f3sito. Saiba mais aqui: Lista de verifica\u00e7\u00e3o para implementa\u00e7\u00e3o da ISO 27001<\/a>.<\/p>\n

Cybersecurity Framework ou ISO 27001?<\/h2>\n

Bem, eu diria que n\u00e3o \u00e9 uma quest\u00e3o de \u201cum ou outro\u201d – me parece que seria melhor combinar os dois. (A prop\u00f3sito, o Cybersecurity Framework sugere que ele pode ser facilmente complementado por outros programas ou sistemas, e a ISO 27001 j\u00e1 se provou ser um bom framework guarda-chuva para diferentes metodologias de seguran\u00e7a.)<\/p>\n

O Cybersecurity Framework \u00e9 melhor quando ele vem para estruturar \u00e1reas de seguran\u00e7a que est\u00e3o para serem implementadas e quando o prop\u00f3sito \u00e9 definir exatamente os perfis de seguran\u00e7a que devem ser atingidos; a ISO 27001 \u00e9 melhor para se obter uma imagem hol\u00edstica: para projetar um sistema dentro do qual a seguran\u00e7a pode ser gerenciada no longo prazo.<\/p>\n

Desta forma, eu entendo que os melhores resultados podem ser atingidos se o projeto de toda a seguran\u00e7a da informa\u00e7\u00e3o \/ ciberseguran\u00e7a fosse definido de acordo com a ISO 27001 (cl\u00e1usulas 4, 5, 7, 9 e 10), e o Cybersecurity Framework fosse utilizado quando do levantamento de riscos e da implementa\u00e7\u00e3o de \u00e1reas e salvaguarda de ciberseguran\u00e7a em particular. Claro que a pr\u00e1tica ir\u00e1 mostrar como o Cybersecurity Framework funciona na vida real, e se este tipo de combina\u00e7\u00e3o faz sentido. Qual a sua opini\u00e3o?<\/p>\n

Para um melhor entendimento sobre como implementar a ciberseguran\u00e7a, veja este eBook gratuito<\/em> 9 Steps to Cybersecurity<\/a>.<\/p>\n

N\u00f3s agradecemos a Rhand Leal pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"

Em 12 de Fevereiro de 2014, o National Institute of Standards and Technology (NIST) publicou o \u201cFramework for Improving Critical Infrastructure Cybersecurity\u201d, comumente conhecido como Cybersecurity Framework. Se voc\u00ea j\u00e1 trabalhou com a ISO 27001 deve estar imaginando: O que este Framework tem a ver com a ISO 27001? Deveria usar um ao inv\u00e9s do …<\/p>\n","protected":false},"author":26,"featured_media":4591,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4590","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4590","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4590"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4590\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4591"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4590"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4590"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4590"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}