Outubro foi um mês de muito trabalho e realizações que reduziram a frequência do blog. Estou aguardando autorização para compartilhar com vocês uma experiência bastante rica em monitoramento contínuo em um ambiente heterogêneo e dinâmico.
Vamos recomeçar com informações importantes para os interessados pelo monitoramento contínuo: o grupo que está organizando o assunto no NIST divulgou a lista dos normativos (alguns já comentamos) que formam a estrutura do tema. Alguns estão finalizados e outros em draft ou pre-draft (ainda não disponibilizados, mas estamos acompanhando do Brasil a preparação e discussão do 7799 e 7800 e vem coisa interessante por aí):
- NIST SP 800-137 – Final - Information Security Continuous Monitoring forFederal Information Systems and Organizations
- NIST IR 7756 – Draft - CAESARS Framework Extension: An EnterpriseContinuous Monitoring Technical Reference Architecture
- NIST IR 7799 – Pre-Draft (not yet released) - Continuous Monitoring Reference Model Workflow, Subsystem, and Interface Specifications
- NIST IR 7800 – Pre-Draft (not yet released) - Applying the Continuous Monitoring Technical Reference Model to the Asset, Configuration, and Vulnerability Management Domains
- NIST SP 800-126 Rev 2 – Final - The Technical Specification for theSecurity Content Automation Protocol (SCAP): SCAP Version 1.2
- NIST IR 7694 – Final - Specification for the Asset Reporting Format 1.1
- NIST IR 7693 – Final - Specification for Asset Identification 1.1
Tenho repetido em minhas palestras que este mundo de governança, riscos, compliance e monitoramento contínuo é para quem gosta de estudar. Por muito tempo estes segmentos eram carentes de base teórica e consensos, e hoje é um dos setores com o melhor conjunto de boas práticas e frameworks. Quando estourou a crise de 2008, os orgãos reguladores afirmaram que não eram necessário criar novos frameworks de governança, mas aplicar o que existe.
Dica light do post, uma app para iphone/ipad para que gosta de música: Rádio Ibiza :-)
Aquele abraço,
FNery
Nenhum comentário:
Postar um comentário