Neste terceiro artigo continuamos abordando os principais frameworks, normas e referências para garantir a segurança e privacidade nas organizações. Em destaque, o novo mapeamento publicado pelo CIS, Center for Internet Security, @cis, com a nova ISO/IEC 27002, lançada em fevereiro pela ISO, @iso.
Na revisão da ISO/IEC 27002, os 114 controles de segurança antes dispostos em 14 seções, foram revisados e consolidados em um documento de 152 páginas, que junto com 11 novos controles totalizam agora 93, organizados em 4 seções: Controles Organizacionais, Controles de Pessoal, Controles Físicos e Controles Tecnológicos.
Quanto ao CIS, em sua atual versão 8, a principal referência para segurança cibernética revisou os antigos 20 Controles Críticos (Top 20) consolidando em 18 Controles (Top 18), compostos por 153 Medidas de Segurança (em inglês, safeguards), antigos Sub-controles que foram renomeados. Manteve-se a classificação em Grupos de Implementação (IG1, IG2 e IG3) que orientam sobre as prioridades para implementação.
Ambas as revisões, do CIS e da ISO/IEC 27002, frutos da participação ativa da comunidade internacional de especialistas, atualizaram seus conteúdos a partir das novas ameaças e mudanças na tecnologia como cloud computing, trabalho remoto, zero-trust, BYOD, ransomware e outros riscos e desafios de segurança da atualidade, incluindo a proteção de dados pessoais e privacidade.
O Brasil tem participado ativamente na elaboração e tradução de documentos do CIS, e também no desenvolvimento das normas ISO, através da ABNT, @abnt, colaborando com os comitês técnicos internacional. Assim, temos a vantagem de possuir atualmente disponíveis ambos os padrões e seus principais documentos traduzidos e lançados oficialmente em português no Brasil.
Em breve a ABNT vai enviar para consulta nacional o documento da NBR ISO/IEC 27002:2022 - Segurança da informação, segurança cibernética e proteção da privacidade: Controles de segurança da informação, com publicação prevista para maio/junho.
A planilha com o mapeamento do CIS v8 com a ISO/IEC 27002, que pode ser acessada no repositório de arquivos dos participantes do CIS Workbench (workbench.cisecurity.org), contém para cada Medida de Segurança a respectiva referência ao Controle correspondente na ISO/IEC 27002. Conforme o tipo de relação entre os conceitos, foram usados os seguintes tipos de relação:
- Equivalente: O Controle CIS contém exatamente o mesmo conceito do Controle ISO.
- Superconjunto: O Controle CIS é um conceito mais amplo e está parcialmente relacionado ao Controle ISO.
- Subconjunto: O Controle ISO é um conceito mais amplo e a Medida de Segurança do CIS está parcialmente ou em grande parte relacionada.
- Interseção: Os Controles CIS e ISO possuem muitas semelhanças, porém nenhum está contido no outro ou pode ser usado para atender aos requisitos do outro. Um exemplo é a relação entre um Controle que exige um programa de conscientização de segurança e outro que exige um programa de governança da informação.
- Sem relacionamento: Nenhuma relação entre os Controles ou Medidas de Segurança.
Alguns exemplos desta relação: Medida de Segurança 3.5 "Descartar dados com segurança" é um SUBCONJUNTO do Controle ISO/IEC 7.14 "Descarte seguro ou reutilização de equipamentos" Medida de Segurança 16.8 "Manter ambientes separados para sistemas de produção e não produção" é EQUIVALENTE ao Controle ISO/IEC 8.31 "Separação dos ambientes de desenvolvimento, teste e produção" Estes mapeamentos foram criados por especialistas a partir de uma variedade de fontes on-line e cada organização deve usá-los como referência para facilitar a relação entre a implementação das Medidas de Segurança do CIS com a ISO/IEC 27002.
Como sugestão, recomendamos que acessem o canal Youtube da Modulo Security com apresentações gravadas onde falamos com mais detalhes sobre os Controles do CIS versão 8 bem como orientações e experiências sobre os Controles da ISO/IEC 27002.
Até semana que vem com a próxima newsletter.
Abraços,
Alberto Bastos.
