Em alguns artigos falamos sobre a importância dos correlacionamentos entre frameworks, entre leis e entre frameworks e leis (links no comentário). Os documentos publicados têm objetivos, sintaxe, e significado de termos e expressões diferentes, por isso fazer o mapeamento entre as diversas publicações facilita o entendimento e a implementação.
Neste caso o mapeamento é oficial, divulgado ontem pelo próprio CIS, o que aumenta a confiança (link no comentário). O documento compara o "CIS Critical Security Controls® (CIS Controls®) v8 and CIS Safeguards" com o "National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 2.0", que são os dois principais frameworks de segurança cibernética, e ainda podem ser correlacionados com a ISO 27001/2 e outros documentos.
A planilha a seguir mostra um exemplo deste relacionamento usando o Controle 3 que trata sobre proteção de dados. Note que algumas salvaguardas do CIS não possuem relacionamento com subcategorias do NIST CSC, o contrário também é verdade:
Para fazer o contrário não basta inverter e reordenar as colunas, pois há relações 1:n e há subcategorias do NIST que não têm correspondência no CIS.
Com o número crescente de publicações, manter boas fontes de relacionamento ajuda na adequação e no uso de boas práticas.
Obrigado,
Aquele abraço,
FNery
Descrição da imagem no Microsoft Copilot: "Create an illustration depicting two sets in which the elements of one set are connected to the elements of the other set through lines. The drawing should visually represent the relationships between these elements clearly, showcasing a variety of connecting lines that might indicate different types of relationships or interactions between the sets."
