Profissionais de segurança precisam se unir colaborando e participando de organizações ou grupos e fóruns especializados. São os Grupos de Interesse Especial (em inglês Special Interest Groups - SIGs), que buscam estimular a integração e colaboração entre profissionais do setor, sejam associações de classe, organizações colaborativas ou mesmo participação como membros de grupos e canais em redes sociais.
Este é o Controle 5.6 Contato com grupos de interesse especialda nova ISO 27002:2022, (antigo controle 6.1.4 da versão 2013), com o propósito de assegurar que ocorra o fluxo adequado de informações relacionadas à segurança da informação.
Controle 5.6
Contato com grupos de interesse especial
Convém que a organização estabeleça e mantenha contato com grupos de interesse especial ou outros fóruns de especialistas em segurança e associações profissionais.
Como orientação, a norma recomenda que a adesão a grupos ou fóruns de interesse especial seja considerada como um meio para:
- melhorar o conhecimento sobre as melhores práticas e manter-se atualizado com as informações relevantes sobre segurança;
- assegurar que a compreensão do ambiente de segurança da informação esteja atual;
- receber avisos antecipados de alertas, aconselhamentos e correções relativos a ataques e vulnerabilidades;
- obter acesso a consultoria especializada em segurança da informação;
- compartilhar e trocar informações sobre novas tecnologias, produtos, serviços, ameaças ou vulnerabilidades;
- fornecer contatos adequados quando lidar com incidentes de segurança da informação.
Participar destes grupos é um caminho de mão dupla, permite a organização manter-se atualizada com as principais novidades e tendências, bem como estabelecer contato com outras organizações e profissionais, cooperando na solução de problemas, compartilhando experiência e melhores práticas. Neste caso, acordos de cooperação e compartilhamento de informações podem ser estabelecidos, tomando o cuidado para preservar a proteção de informações sensíveis.
Dentre os grupos de interesse especial especializados em segurança, destacamos as organizações responsáveis pelas normas e padrões, setoriais, nacionais ou internacionais, geralmente formadas por comunidade de especialistas voluntários, que trabalham em conjunto para desenvolver e publicar as principais referências em segurança da informação, privacidade e proteção de dados pessoais.
Tratando-se de normas internacionais de gestão, a ISO - International Organization of Standardization e IEC - International Electrotechnical Commission são hoje as principais referências, sendo representadas no Brasil pelos respectivos Comitês Técnicos e Grupos de Trabalho na ABNT - Associação Brasileira de Normas Técnicas.
O CIS - Centro de Segurança na Internet, entidade sem fins lucrativos cuja missão é "identificar, desenvolver, validar, promover e manter soluções de práticas recomendadas para a defesa cibernética", é também uma referência com valiosos padrões e publicações elaboradas por membros especialistas do mundo inteiro, como os CIS Critical Security, o padrão CIS RAM para avaliação de riscos e o CIS Privacy Guide.
Na versão 8 dos Controles Críticos de Segurança do CIS, uma atenção especial é citada na Medida de Segurança 17.2, visando manter contato com grupos de interesse especial para relatar e colaborar em casos de incidentes de segurança:
17.2 Estabelecer e manter informações de contato para relatar incidentes de segurança
Estabeleça e mantenha as informações de contato das partes que precisam ser informadas sobre os incidentes de segurança. Os contatos podem incluir funcionários internos, fornecedores terceirizados, policiais, provedores de seguros cibernéticos, agências governamentais relevantes, parceiros do Information Sharing and Analysis Center (ISAC) ou outras partes interessadas. Verifique os contatos anualmente para garantir que as informações estejam atualizadas.
Além de participar de grupos gerais relacionados à segurança, é recomendável também buscar contato com grupos específicos de fabricantes e usuários de sistemas e tecnologias utilizadas na organização.
Finalmente, no Brasil, em uma pesquisa rápida, é possível encontrar diversas associações de classe e organizações de alguma forma relacionadas com a segurança e privacidade, como:
- ABES - Associação Brasileiras das Empresas de Software
- ABRANET - Associação Brasileira de Internet
- ABSC - Associação Brasileira de Segurança Cibernética
- ABSIC - Associação Brasileira de Segurança da Informação e Comunicações
- ANPPD - Associação Nacional dos Profissionais de Privacidade de Dados
- ASEGI - Associação Brasileira de Profissionais e Empresas de Segurança da Informação e Defesa Cibernética
- ASSESPRO - Associação das Empresas Brasileiras de Tecnologia da Informação
- CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil
- CESeg - Comissão Especial em Segurança da Informação e de Sistemas Computacionais da Sociedade Brasileira de Computação
- CTIR Gov – Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo
- IAPP - International Association of Privacy Professionals
- IBRASPD - Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados
- ISACA - Information Systems Audit and Control Association
- ISSA Brasil - Associação de Segurança em Sistemas de Informação
- OpenGroup Brasil - Security Forum
- WOMCY - Latam Women in Cybersecurity
E como um grupo especial, para valorizar a força de trabalho feminina, que já representa cerca de 25% dos profissionais na área, os editores da Cybercrime Magazine divulgaram uma lista com 50 associações e grupos de mulheres na segurança cibernética - 50 Women In Cybersecurity Associations And Groups To Follow (link nos comentários).
Se você conhece outras associações e grupos que queira sugerir, por favor pode compartilhe nos comentários desta publicação.
Até a próxima.
Sócio- Fundador e CEO da Modulo Security.
Comentários: Atenção Mulheres, lista consolidada da CyberCrime Magazine com 50 grupos e associações para Mulheres em Cybersecurity:https://cybersecurityventures.com/list-of-women-in-cybersecurity-associations-in-the-u-s-and-internationally/
