Escolar Documentos
Profissional Documentos
Cultura Documentos
de Segurança:
Uma Análise Comparativa
entre CIS Controls, NIST CSF
e ISO/IEC 27001
No presente e-book, realizamos uma análise comparativa entre os
frameworks CIS Controls, NIST Cibersecurity Framework e ISO/IEC
27001. Tratam-se de três dos mais referenciados frameworks de
segurança disponíveis atualmente. Em nossa análise, enfatizamos
os pontos fortes de cada framework e avaliamos os cenários em
que cada um é mais recomendável.
2
Introdução
Frameworks de segurança são importantes ferramentas no mundo da
Segurança da Informação. A comunidade usa o termo "framework" para se
referir a qualquer referência normativa que possa ser utilizada como base para
o estabelecimento de um programa corporativo de segurança. Tipicamente,
frameworks de segurança se materializam na forma de documentos que
descrevem requisitos, controles e práticas de segurança que devem estar
presentes em uma organização. Frameworks são importantes pontos de
partida para o estabelecimento de políticas, processos e procedimentos em
diversas áreas – em particular, na área de segurança, onde são importantes
ferramentas para o gerenciamento de riscos cibernéticos.
3
1 Descrição
dos Frameworks
4
O CIS Controls é baseado em uma abordagem de defesa em camadas,
que envolve a implementação de conjuntos de controles de segurança em
etapas, de modo a viabilizar uma evolução incremental de maturidade em
segurança. Os controles são projetados para serem flexíveis e escaláveis,
permitindo que as organizações adaptem sua implementação de acordo
com suas necessidades específicas de segurança.
5
O NIST Cybersecurity Framework é um framework de segurança cibernética
desenvolvido pelo NIST (National Institute of Standards and Technology dos Estados
Unidos). O objetivo do framework é fornecer orientação para as organizações sobre
como gerenciar e reduzir o risco cibernético em suas operações.
Identificar
Recuperar
Proteger
Responder Detectar
Uma nova versão do NIST Cybersecurity Framework está prevista para ser lançada
no início de 2024 - e já existe um cronograma em andamento para isso. Um
“concept” paper foi lançado em janeiro de 2023 e apresenta algumas visões a
respeito do CSF 2.0:
A mudança mais “visível” para a grande maioria dos praticantes de segurança será,
provavelmente, derivada da “visão 4” acima, já que ela tem como consequência a
criação de um sexto elemento funcional “Governar” - em complemento aos
clássicos “Identificar”, “Proteger”, “Detectar”, “Responder” e “Recuperar”
7
A ISO/IEC 27001 é um framework de Segurança da Informação que estabelece
requisitos e diretrizes para a gestão da Segurança da Informação em uma
organização. O objetivo principal do ISO/IEC 27001 é fornecer uma estrutura para
estabelecer, implementar, manter e melhorar continuamente a gestão da Segurança
da Informação em uma organização. Isso inclui a avaliação e tratamento dos riscos
de Segurança da Informação, a implementação de controles de Segurança da
Informação e a manutenção da eficácia desses controles ao longo do tempo.
A versão atual do framework é de 2022 e possui duas partes: uma parte principal
que descreve os requisitos de um Sistema de Gestão de Segurança da Informação e
um anexo que enumera os controles que devem ser estabelecidos para atender a
tais requisitos. Os controles da segurança da informação listados no anexo da
ISO/IEC 27001:2022 são diretamente derivados e alinhados com aqueles listados
na ISO/IEC 27002:2022.
8
2 Análise crítica: os pontos
fortes de cada framework
Uma vez descritas as características gerais do CIS Controls, do NIST CSF e do
ISO/IEC 27001, apresentamos uma análise crítica destes três frameworks,
destacando os pontos fortes e potenciais cenários de aplicação de cada um.
9
Análise crítica: os pontos fortes
de cada framework
10
Análise crítica: os pontos fortes
de cada framework
11
3 Roadmap: aproveitando o
melhor de cada framework
Uma vez apresentadas características e peculiaridades dos
vários frameworks, uma pergunta natural é: como utilizar os
frameworks para construir um programa de segurança
cibernético efetivo na mitigação de riscos cibernéticos?
13
Mapeamentos entre os Frameworks.
12
Grau de maturidade em segurança
da organização
Organizações em estágios iniciais de segurança tendem a se beneficiar bastante de
um framework "pragmático" como o CIS Controls, onde os controles de segurança
são apresentados de forma concreta e organizados em grupos de implementação.
Organizações mais maduras podem seguir na linha do NIST Cybersecurity
Framework ou da ISO/IEC 27001, dependendo de seus objetivos estratégicos.
14
Necessidade de demonstração
da conformidade
Um elemento possivelmente decisivo a ser considerado é a necessidade de
demonstração de conformidade perante terceiros - tais como clientes, reguladores e
seguradoras. Neste caso, o framework natural a ser considerado é a ISO/IEC 27001,
pois a norma está associada a uma estrutura internacional de avaliação da
conformidade: a norma possui uma versão nacional (ABNT) internalizada a partir
versão original e a avaliação da conformidade (certificação do Sistema de Gestão de
Segurança da Informação) é feita por um organismo de certificação acreditado de
acordo com normas e padrões internacionais - tudo isso promovendo um
reconhecimento inquestionável da conformidade da organização.
15
A abordagem da Clavis
O time de Governança, Risco e Conformidade (GRC) da Clavis já apoiou centenas de
empresas na construção e manutenção de seus programas corporativos de
segurança cibernética, tendo realizado 83 Análises de Gap no ano de 2022. A partir
desta experiência, a Clavis pode construir uma abordagem que otimiza a jornada do
cliente em busca do amadurecimento em segurança, conforme descrevemos a
seguir.
16
Considerações finais
Se sua organização está buscando estruturar um programa de segurança cibernética,
um dos primeiros passos é selecionar o arcabouço normativo que servirá como
referência para a definição de controles, políticas, processos e procedimentos. Se a
organização atua num setor onde é clara a necessidade de aderência a uma norma
em particular, então esta norma deverá ser a referência inicial.
Por outro lado, se existe espaço para a seleção de normas abrangentes, é bastante
razoável realizar uma escolha entre CIS Controls, NIST Cybersecurity Framework e
ISO/IEC 27001. Embora tais padrões sejam tecnicamente consistentes entre si, cada
um deles possui objetivos e abordagens próprias, levando a cenários de aplicação
distintos.
17
Autores
Raphael Machado
Sócio - Fundador da Clavis
Luiz Nascimento
Gerente de Soluções da Clavis
18
ACESSE NOSSAS REDES SOCIAIS E CONHEÇA MAIS