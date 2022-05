O desenvolvimento de novos frameworks de cibersegurança tem aumentado drasticamente nos últimos anos. Não foi há muito tempo que a escolha das estruturas se limitou à Publicação Especial NIST (SP) 800-53 ou à série 27000 da Organização Internacional de Normalização (ISO). Existe agora uma infinidade de opções potenciais que podem variar desde requisitos gerais de segurança a controles detalhados para verticais específicas da indústria. Muitas destas soluções ainda estão disponíveis gratuitamente, enquanto algumas passaram a cobrar assinaturas e programas de certificação dispendiosos. Os frameworks têm evoluído para preencher os requisitos de nicho de qualquer programa de segurança organizacional.

A vasta gama de opções disponíveis pode tornar difícil para qualquer CISO escolher o framework para a segurança de sua organização. No entanto, os fatores decisivos não são geralmente de natureza técnica. A maioria destes novos frameworks de cibersegurança têm controles e requisitos técnicos comuns. As maiores diferenças envolvem a forma como esses frameworks podem ser integrados aos objetivos corporativos globais e comunicados à liderança organizacional. Estes são os fatores decisivos na decisão dos CISOs para determinar o framework de cibersegurança que será usado nos seus programas de segurança.

Dois CISOs experientes de diferentes verticais da indústria ofereceram a sua opinião sobre como os CISOs estão escolhendo e usando esses frameworks de segurança cibernética. Paul VanAmerongen representa a UW Health, uma grande organização de saúde sem fins lucrativos, enquanto Michael Wilcox é um ex-CISO que já representou anteriormente uma empresa de produção global negociada na bolsa. As organizações que representam não poderiam ter modelos de negócio e necessidades tecnológicas mais díspares, mas ambos os CISOs abordaram a seleção de um framework de segurança cibernética para o seu programa de segurança de forma semelhante. Havia um foco comum na integração com objetivos corporativos, métricas do programa e comunicação com a liderança.

A natureza internacional do framework da ISO 27001 é um grande ajuste neste tipo de situação, especialmente se a organização já adotou a ITIL para a gestão de serviços de TI. As indústrias já estão familiarizadas com as normas de qualidade ISO 9000, e a ISO 27001 pode ser incorporada à organização como uma melhoria da qualidade para a segurança da informação. Este framework é globalmente reconhecido e facilmente traduzido para outros frameworks e exigências regulamentares. Pode fornecer a base para a criação inicial de políticas de segurança da organização que definirão os padrões para o desenvolvimento da segurança. Pode também ser utilizado para construir a base de um programa GDPR, embora devam ser acrescentados requisitos adicionais de privacidade para uma conformidade total com a GDPR.

Wilcox descreveu como uma organização com ações em bolsa e operações globais enfrenta desafios completamente diferentes. O mercado industrial altamente competitivo é incentivado a reduzir os custos a fim de manter as margens de lucro. A tecnologia foi adotada muito mais cedo do que nos cuidados de saúde para impulsionar a eficiência na produção e gestão da cadeia de fornecimento. A pressão sobre os lucros trimestrais e o crescimento, expectativas constantes deste mercado, dirigem a tomada de decisões comerciais. O CISO neste tipo de organização deve estar consciente desta cultura e ao mesmo tempo considerar como satisfazer todas as diferentes regulamentações de segurança e privacidade dos países onde faz negócios em todo o mundo.

VanAmerongen explicou que o NIST Cybersecurity Framework se tornou popular entre muitos prestadores de serviços de saúde, uma vez que está disponível gratuitamente e é facilmente comunicado tanto para cima como para baixo na organização. Pode ser facilmente combinado com estruturas mais detalhadas, como a NIST SP800-53, e com os requisitos de conformidade regulamentar da HIPAA. Os requisitos do HITRUST Cybersecurity Framework podem ser referenciados quando é necessário um detalhe adicional. Contudo, os custos de certificação podem tornar a HITRUST uma proposta mais difícil de adotar na íntegra pelas organizações de prestadores de cuidados de saúde.

O setor de saúde vive uma transformação intensa. Esta indústria teve de ser incentivada pelo governo em 2009 a investir na conversão dos seus registos de papel para formato eletrônico. Isto impulsionou mudanças culturais e grandes aumentos nos gastos em tecnologia da informação. Estas mudanças nas despesas em tecnologia coincidiram, infelizmente, com mudanças dramáticas no reembolso dos cuidados de saúde, fazendo baixar as receitas. Esta é a realidade cultural que a maioria dos CISOs de cuidados de saúde experimentam e influencia diretamente a escolha do framework de segurança cibernética.

Usando frameworks de cibersegurança em planos estratégicos

Um framework de cibersegurança pode ser essencial no planejamento estratégico dos departamentos de segurança da informação, de acordo com os dois CISOs entrevistados. "A utilização de um framework de cibersegurança facilita a condução do programa e a definição da visão", disse VanAmerongen. Os frameworks fornecem uma lista pré-construída de requisitos de segurança para a realização de uma avaliação inicial das falhas. Os programas de segurança podem inventariar as suas capacidades atuais e compará-las com uma estrutura para começar a construir um roteiro personalizado para a sua organização. Estes roteiros são depois personalizados de acordo com o modelo empresarial e o nível de maturidade atual.

A estrutura incluída num framework de segurança pode ser utilizada como primeiro passo para definir o framework de política de segurança para a organização.

Há frequentemente uma diferença de opinião sobre a criação de políticas antes de os controles serem postos em prática. Alguns as enxergam como ambições, enquanto outros estão preocupados em declarar a existência de controles de segurança que ainda não estão em vigor. Contudo, as políticas podem ajudar a reforçar a estratégia global de segurança e ajudar a definir requisitos operacionais em curto prazo. O framework pode ser utilizado como base para o desenvolvimento de uma estratégia de segurança da informação que não mude tanto como as outras coisas no kit de ferramentas do CISO.