A obra "Etymologiae", de Santo Isidoro, foi uma das primeiras tentativas de compilar o conhecimento humano em um único volume, precursor dos modernos sistemas de informações. A coincidência do lançamento da Newsletter neste dia, serve como lembrança simbólica do nosso compromisso em seguir os passos deste estudioso, para compilar e compartilhar informações valiosas de forma organizada e acessível.

Ao longo da série de artigos, abordamos uma ampla gama de temas e assuntos, desde a análise de normas e padrões até a discussão de casos reais e orientações práticas para enfrentar os desafios do cenário atual.

Acreditamos que o diálogo contínuo e a colaboração entre profissionais, especialistas e clientes são fundamentais para promover uma compreensão mais profunda e aprimorada das melhores práticas para garantir a segurança e gestão de riscos.

A partir de uma visão geral do cenário atual da gestão de riscos, privacidade e segurança cibernética, promovemos e divulgamos as principais referências, como:

• ISO 27001:Norma internacional que descreve os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI).
• ISO 27002:Complementando a ISO 27001, fornece diretrizes e melhores práticas para a implementação de controles de segurança da informação, abrangendo aspectos como políticas de segurança, gestão de riscos, acesso e gerenciamento de incidentes, entre outros.
• Controles Críticos do CIS: Controles de segurança do CIS (Centro de Segurança da Internet), um conjunto de ações prioritárias para melhorar a segurança cibernética, que fornece uma base sólida para prevenir, detectar e responder a ameaças cibernéticas.
• Open FAIR:FAIR(Factor Analysis of Information Risk) é uma metodologia quantitativa para avaliação de riscos. Ajuda as organizações a tomar decisões informadas e priorizar investimentos em segurança da informação.
• ISO 22301:Norma internacional que especifica os requisitos para planejar, implementar, operar, manter e melhorar continuamente um Sistema de Gestão de Continuidade de Negócios (SGCN), auxiliando as organizações a se prepararem e se recuperarem de interrupções nos negócios.
• ISO 22313:Complementando aISO 22301, fornece diretrizes e boas práticas para a implementação de umSGCN, abordando áreas como análise de impacto nos negócios, avaliação de riscos e estratégias de recuperação.
• ISO 22317:Norma internacional que apresenta diretrizes para uma análise de impacto nos negócios (BIA), ajuda as organizações a identificar e priorizar as áreas críticas que precisam ser protegidas para garantir a continuidade das operações em caso de interrupções.
• ISO 27005:Norma internacional aplicada em conjunto com aISO 27001e aISO 27002, fornece diretrizes para a gestão de riscos de segurança da informação, abrangendo desde a identificação e avaliação de riscos até a implementação de medidas de tratamento e monitoramento contínuo.
• ISO 27701:Norma internacional que estabelece requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Privacidade da Informação (SGPI) como uma extensão do SGSI. Auxilia as organizações a cumprirem os requisitos de privacidade e proteção de dados, como os estabelecidos pelaLGPDdo Brasil.
• CIS RAM(Risk Assessment Method): Metodologia de avaliação de riscos adaptada para os Controles CIS, ajuda as organizações a avaliarem e priorizarem os riscos associados aos seus ativos e a implementarem controles de segurança cibernética de maneira eficiente e eficaz.
• ISO 31000:Norma internacional que fornece princípios e diretrizes para a gestão de riscos em qualquer organização, independentemente do seu tamanho, tipo ou setor. Aborda aspectos como a identificação, análise, avaliação e tratamento de riscos, além de monitoramento e análise crítica.
• ISO Guide 73:Guia complementar àISO 31000, oferece um vocabulário comum para conceitos e termos relacionados à gestão de riscos. O objetivo deste guia é promover a compreensão e a comunicação efetiva sobre riscos entre diferentes partes interessadas.
• IEC 31010:Norma internacional que fornece diretrizes e técnicas para a avaliação de riscos, apoiando a implementação dos princípios e diretrizes daISO 31000. Apresenta ampla variedade de métodos e abordagens para identificar, analisar e avaliar riscos, auxiliando as organizações a selecionar e aplicar as técnicas mais apropriadas para suas necessidades e contextos.

Atuando também como coordenador da Comissão de Gestão de Riscos da ABNT e participante de grupos de trabalho como o Security Forum do Open Groupe do CIS, buscamos acompanhar de perto os lançamentos e atualizações, de modo a garantir que os leitores estejam sempre informados sobre as últimas tendências e melhores práticas. Tenho colaborado ainda no desenvolvimento e tradução destas normas e padrões para o português, facilitando o acesso a estes documentos no Brasil e contribuindo na disseminação de conhecimento das melhores práticas em nosso idioma.

Esta jornada de elaboração e publicação dos artigos tem sido uma experiência extremamente gratificante. Trouxe a oportunidade de aprimorar minhas habilidades e conhecimentos, expandir minha rede de contatos profissionais e causar um impacto positivo na área auxiliando organizações e indivíduos a compreender e aplicar práticas e padrões relevantes .

Assim, agradeço a todos que têm contribuído com comentários e feedbacks em nossas publicações no LinkedIn. A troca de ideias, o debate e compartilhamento de experiências enriquecem o conteúdo dos artigos e permitem que a comunidade cresça e evolua.

Gratidão também a todos que compartilham os artigos em suas redes, ampliando o alcance das informações e facilitando a conscientização e o acesso a um público mais amplo.

Se Deus permitir, espero continuar com a produção de conteúdo informativo e relevante, com o objetivo de fortalecer a comunidade e contribuir para a construção de um ambiente digital mais seguro e resiliente para todos.

Obrigado!

E até a próxima,

Alberto Bastos