Não é coincidência que dentre todos os segmentos, a segurança da informação seja o primeiro a possuir um tripé técnico-gestão-governança. Estes três pilares são bem normatizados através da ABNT NBR ISO/IEC 27002- Código de pratica para a gestão da segurança da informação, da ABNT NBR ISO/IEC 27001 - Sistemas de gestão de segurança da informação, e da futura ISO 27014 - Governance of Information Security, que está em fase final de discussão para publicação e possui um Grupo de Trabalho na ABNT.
Também em monitoramento contínuo, a segurança da informação tem sido pioneira. O NIST - National Institute of Standards and Technology, organização do governo americano que administra as normas técnicas, publicou este ano a versão draft do CAESARS Framework Extension: An Enterprise Continuous Monitoring Technical Reference Architecture, ótimo documento para os interessados no tema, que resume seu modelo no desenho a seguir (veja detalhadamente no documento):
O CAESARS vale como referência para todos os segmentos.
A discussão sobre monitoramento contínuo nos EUA conta com organismos de governo como a NSA - National Security Agency, o DHS - Department of Homeland Security e o Mitre, e na semana passada publicaram um novo documento de referência, vale conferir.
A Módulo participa ativamente do Mitre (veja em OVAL Adoption Program Participants e Capability List), e tem liderado as ações de GRC - Governança, Risco e Compliance e Monitoramento Contínuo no Brasil.
Nenhum comentário:
Postar um comentário