Arquivo

Archive for the ‘Arquitetura’ Category

Vamos falar um pouco sobre o NIST–Introdução

19 de agosto de 2019 1 comentário

Saudações,

Tenho andado afastado deste espaço por questões profissionais e o tempo que me tem faltado pra escrever, mas, quero retomar o andor aqui falando sobre o NIST para gestão e adequação de processos de segurança da informação.

Começarei pelos próximos dias uma série com explanações do modelo, documentos e referências para que possamos entender bem como usa-lo e se o mesmo cabe no dia a dia da sua empresa.

Pra quem ainda não sabe o NIST (National Institute of Technology and Standards), anteriormente conhecido como The National Bureau of Standards, é uma agência governamental não regulatória da administração de tecnologia do Departamento de Comércio dos Estados Unidos. A missão do instituto é promover a inovação e a competitividade industrial dos Estados Unidos, promovendo a metrologia, os padrões e a tecnologia de forma que ampliem a segurança econômica e melhorem a qualidade de vida. Fonte: Wikipedia

No nosso caso, o framework NIST consiste em 5 funções e 23 Categorias (com ID único) conforme abaixo:

image

Além do exposto acima, o NIST possui mais 108 sub-categorias distribuídas nas 5 funções que trazem consigo referências para implementação dos controles necessários a adequar o negócio às melhores práticas.

As referências não se limitam a controles escritos nas publicações especias do NIST (Ex: NIST SP-800-53), mas também a controles das nomas ISO, PCI, entrou outras.

Mas como eu implemento o NIST numa corporação? Fui perguntado a este respeito uns dias atrás e confesso que ali, percebi da necessidade de entrar mais a fundo nesta seara, não só para poder ajudar a quem precisa, mas também pelo fato da empresa onde trabalho ter adotado este framework e eu mesmo estar desenhando projetos de governança baseados nele. Outro fator a se considerar é a usabilidade cada vez maior deste framework no mercado atualmente, por isso, vamos começar no básico e ir se aprofundando nos próximos volumes desta série que começo hoje com vocês.

Se faz necessário um levantamento prévio do seu negócio antes de definir o método de implementação do NIST, ou até mesmo para saber se ele é o framework certo para sua realidade:

1. Se você é novo na área de segurança da informação e não atua mais no ambiente técnico, procure sair da sua mesa um pouco, se fazer conhecido por todos e buscar conhecer os detalhes do negócio que sua empresa atua. Essa é a base principal que vai ser o alicerce de todas as análises que serão feitas no decorrer do processo de implementação deste ou de qualquer framework de segurança existente.

2. Mostre a importância que segurança da informação tem para sua alta diretoria. Faça-os entender a necessidade do investimento e o quanto a empresa pode ser afetada por ataques, ou vazamento de dados… ou ambos. Não precisa “tocar o terror”, mas mostre a realidade de quem passou por experiências amargas no mercado. Traga pra si a confiança da alta diretoria mostrando o trabalho que está sendo feito e o que está por vir.

3 Mantenha bom relacionamento com sua área de TI… você precisará deles para implementações de segurança no ambiente técnico. Procure entender bem a situação atual da infra estrutura implementada para entender quais melhorias precisariam ser feitas.

4. Iremos abordar isso nos próximos volumes da série mas, organize reuniões com os departamentos diversos da corporação, principalmente RH, Jurídico e Financeiro, entendendo os processos de cada área e fazendo um mapeamento prévio de dados sensíveis, críticos e financeiros. Atue em parceria com sua área de TI (Infra estrutura e aplicações) para entender onde esses dados estão armazenados.

5. Tenha certeza de que o usuário final sabe que a corporação tem uma gestão de segurança da informação. Isso não tem o intuito de criar um clima de caça às bruxas, ou simplesmente monitorar se algo está errado, mas, fazer de forma a que o usuário se sinta um parceiro do time de segurança… falaremos disso mais para frente.

Agora que temos uma base na cabeça, iremos seguir com as formas de se implementar o framework NIST em sua corporação. A cada novo volume desta série irei abordar uma função do framework em detalhes. Aguardem!

Espero que essa iniciativa possa ser de grande ajuda!

Abraços

Uilson

%d blogueiros gostam disto: