Como temos falado, o tema monitoramento contínuo está entrando rapidamente na pauta dos assuntos corporativos devido ao aumento da complexidade dos negócios, à maior exigência de controles e à rápida evolução da tecnologia.
Os textos e normas sobre monitoramento contínuo estão sempre acompanhados da palavra "awareness" (consciência, conscientização), o que nos parece bastante coerente.
No mês passado o NIST - National Institute of Standards and Technology publicou o normativo NIST 800-137 - Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations, que mesmo sendo um padrão para organizações do Governo Americano, e focado em segurança da informação, serve como ótima referência para todos os segmentos.
Vale atentar para a definição: "Information security continuous monitoring (ISCM) is defined as maintaining ongoing awareness of information security, vulnerabilities, and threats to support organizational risk management decisions".
Da mesma forma que outros normativos, o NIST 800-137 posiciona o monitoramento contínuo como uma ação hierárquica (seja na corporação ou em um departamento) em três níveis: Organização, Processos e Sistemas; veja na pirâmide abaixo.
Seguindo a nova geração de frameworks, o NIST 800-137 implementa um modelo cíclico (veja abaixo). Os modelos cíclicos começaram com o PDCA - que foi consagrado e virou consenso com a ISO 9000 -, e hoje tem sido adotado pelos frameworks pois permitem aprendizado contínuo e a rápida apresentação de resultados.
Este novo framework mostra uma forma madura de se tratar a segurança da informação e tem um ótimo glossário. Acho que o NIST deveria se alinhar com as normas ISO 27000 e ISO 31000, que sequer são citadas (para o NIST ISO significa "Information System Owner" :-), mas como se trata de uma norma do governo americano, não existe nenhuma obrigação de fazer este alinhamento. De qualquer maneira recomendo ao leitor usar esta norma como melhor prática e as normas da ISO como referências normativas.
O monitoramento contínuo tem ganho espaço, vale acompanhar as novidades.
Aquele abraço,
FNery.
Information security continuous monitoring (ISCM) is defined as maintaining ongoing awareness of information security, vulnerabilities, and threats to support organizational risk management decisions.
FNery,
ResponderExcluirE você já viu americano concordar com o resto do mundo em alguma coisa? As normas DELES são as normas DELES, e o resto é o resto.
Abraço,
Marlon.