Muitos das pessoas que trabalham com InfoSec iniciaram suas carreiras atuando em nichos técnicos bem específicos. E ao longo do tempo atuando na área vamos nos deparando com guidelines e padrões elaborados por institutos e órgãos com o propósito de fomentar ou regulamentar a área de segurança da informação.

O propósito desta publicação é justamente fazer um apanhado de alguns frameworks encontrados no mercado e fazer breve resumo de cada um. A lista não será exaustiva mas propõe dar um norte a quem precisar.

DoDAF (The DOD Architecture Framework)

Elaborado pelo Departamento de Defesa Americano, o DoDAF é um framework de arquiteutra que propõe a interoperabilidade entre diferentes sistemas militares. O foco é em uma arquitetura para comando, controle, comunicações, computadores, inteligência, vigilância e processos. Essa arquitetura propõe que não apenas os protocolos sejam interoperáveis, mas também como os dados são armazenados e utilizados. Sempre com o propósito de permitir com que a missão, seja ela qual for, seja finalizada com sucesso e sem impecilhos técnicos.

MoDAD (Ministry of Defence Architecture Framework)

Desenvolvido pelo Ministério da Defesa britânico, é baseado no DoDAF das forças americanas. O principal propósito do framework é permitir a troca de dados no formato correto e utilizável entre as partes envolvidas e permitir apenas com que quem deve possuir o acesso assim o faça o mais rápido possível. O foco é semelhante ao DoDAF, permitindo com que as decisões sejam tomadas de forma rápida e certeira.

TOGAF (The Open Group Architecture Framework)

O framework TOGAF foi originário também do Departamento de Defesa Americano. Provê uma abordagem para o desenvolvimento e implantação de arquiteturas de sistemas para ambientes corporativos. Pode ser utilizado para o desenvolvimento dos seguintes tipos de arquiteturas: negócio, dados, aplicações e tecnologia. Para o desenvolvimento dessas arquiteturas utiliza do método ADM (Architecture Development Method). Esse método é um processo iterativo e permite com que os requisitos sejam continuamente revistos e atualizados na arquitetura. Através do método uma arquitetura pode ser compreendida através de quatro diferentes pontos de vista: negócio, dados, aplicações e tecnologia.

Zachman

Desenvolvido na década de 80 por John Zachman, foi um dos primeiros frameworks para o desenvolvimento de sistemas corporativos. É um framework genérico que pode ser utilizado para o desenvolvimento de sistemas de segurança.

Utiliza para tanto uma tabela bidimensional com seis interrogações (O que, Como, Onde, Quem, Quando e Porque) fazendo interceção com diferentes perspectivas (por exemplo: executivos, gerentes de negócio, arquitetura de sistemas, engenheiros, técnicos e restante da corporação). As perspectivas são determinadas de acordo com o uso do framework. Através dessa tabela é possível ter uma compreensão holística da organização, onde cada linha da tabela descreverá toda a organização de determinada perspectiva. O exemplo a seguir apresenta uma tabela do framework de acordo com as perspectivas: Contextual, Conceitual, Lógica, Física e Detalhada.

A proposta com o Framework Zachman é permitir ter diferentes perspectivas sobre determinado objeto de uma organização. Todas as perspectivas atuando para suportar o propósito da organização e/ou do sistema que está sendo modelado.

SABSA (Sherwood Applied Business Security Architecture)

Apesar de bastante semelhante ao Framework Zachman, foi desenvolvido de forma independente a esse com o foco em segurança. É um framework multi-camadas, onde conforme se desce nas camadas menos abstração é esperado e mais detalhes de implementação/operacionalização são apresentados. Dessa forma permite a conceituação a partir de políticas até a prática. Cada coluna dessa tabela possui perguntas a serem respondidas a cada camada:

• O que você está tentando fazer nessa camada?
• Por que você está fazendo isso?
• Como você irá tentar fazer isso?
• Quem é envolvido?
• Onde você está fazendo isso?
• Quando você fará isso?

ISMS (Information Security Management System)

A ISO/IEC desenvolveu um padrão com o propósito de auxiliar as organizações a desenvolver seu programa de segurança, ou o sistema de gestão de segurança da informação (ISMS). O propósito é ajudar no projeto, implementação e manutenção de políticas, processos e tecnologias para a gestão de riscos e ativos com informações sensíveis. O padrão foi proposto através de uma série de publicações conhecida por ISO/IEC 27000. Essa foi mais detalhada nesta publicação.

COBIT (Control Objectives for Information and related Technology)

O COBIT é um framework para governança e gestão desenvolvido pela ISACA (Information Systems Audit and Control Association) e ITGI (IT Governance Institute). O propósito desse framework é otimizar o valor da TI para as organizações, auxiliar no uso de recursos, níveis de risco e realização de benefícios. Tudo é sempre realizando tendo os stakeholders como objetivo da organização e a IT auxiliando no processo. Os princípios do COBIT são:

• Atender as necessidades dos stakeholders
• Cobertura fim a fim da organização
• Aplicar um único framework integrado para toda a organização
• Permitir uma abordagem holística
• Separar governança e gestão

Para COBIT, como já falado, tudo é associado aos stakeholders. O propósito é que a qualquer momento seja possível se questionar o porquê de algo a ser feito, e a resposta seja associada a um objetivo da TI, que por sua vez atende a um objetivo da organização que leva a satisfazer uma necessidade dos stakeholders.

De forma a auxiliar no processo de realizar esse mapeamento, o COBIT possui dois conjuntos de 17 objetivos diferentes, mas  relacionados.

O framework inclui e diferencia a governança e gestão. A governança seriam os processos nos C-levels (exemplos: CTO, CEO, CSO) enquanto a gestão seria realiza pelas demais lideranças da organização.

COSO IC (Committe of Sponsoring Organizations – Internal Control)

O COBIT foi derivado do COSO IC. COSO que promoveu a Treadway Commission em 1985 para lidar com atividades de fraudes financeiras. O COSO identifica para uma organização 17 princípios de controles internos que são agrupados em 5 componentes:

Controle de ambiente 

1. demonstrar comprometimento com integridade e valores éticos
2. exercitar responsabilidades
3. estabelecer estrutura, autoridade e responsabilização
4. demonstrar comprometimento com competência
5. reforçar o accountability.

Avaliação de risco

6. especificar objetivos adequados
7. identificar e analisar risco
8. avaliar risco de fraude
9. identificar e analisar mudanças significativas.

Atividades de controle

10. definir e desenvolver atividades de controle
11. definir e desenvolver controles gerais sobre tecnologia
12. implantar através de políticas e procedimentos.

Comunicação e Informação

13. utilizar informação relevante e de qualidade
14. comunicar internamente
15. comunicar externamente.

Atividades de monitoração

16. 16. conduzir avaliações em curso e separadas
    17. avaliar e comunicar deficiências.

O COSO IC é uma modelo para governança corporativa. O COBIT é um modelo para governaça de TI. Se fosse separar, o COSO é adequado para uso em níveis estratégicos da organização enquanto o COBIT é focado em níveis operacionais. O COBIT pode ser utilizado para atendimento dos objetivos do COSO a partir da perspectiva de TI. Importante frisar isso pois o COSO é aplicável a outros contextos, como cultura organizacional, pricípios de accounting financeiro, responsabilidades do corpo diretor e estruturas de comunicação interna. Tanto que a lei Sarbanes-Oxley Act (SOX) de 2002 – que tipifica como crimes diversos tipos de fraudes – é baseado no modelo COSO. Ou seja, se uma compania está em conformidade com a lei, essa atende aos princípios COSO. ISO/IEC 27000 e COBIT apoiam, da perspectiva de TI, o modelo COSO.

ITIL (Information Technology Infrastructure Library)

ITIL foi desenvolvido na década de 80 pela UK’s Central Computer and Telecommunications Agency. Atualmente é controlada pela Axelos, que é uma joint-venture do governo britânico e a empresa privada Capita.

ITIL é de fato um padrão para melhores práticas em gerência de serviços de TI. Foi proposto para estreitar o relacionamento entre o negócio e a TI. A falha de uma linguagem comum de comunicação entre a TI e o restante da organização gera confusão, perda de prazos, oportunidades e aumenta o custo e trabalho tanto no lado técnico quanto no lado do negócio. ITIL provê processos com entradas e saídas definidas. O principal foco é no estabelecimento e cumprimento de SLA (Service Level Agreement) entre o departamento de TI e seus “consumidores”, que são no caso o restante da organização.

Six Sigma

Six Sigma é uma metodologia de melhoria desenvolvido pela Motorola. Seu principal objetivo é melhoria de processos através da análise estatística da eficiência das operações. Six Sigma é utilizado para avaliação de segurança na indústria em alguns contextos. A maturidade de um processo de acordo com a metodologia é descrita através de uma avaliação através de uma classificação que indica a porcentagem de defeitos que um processo possui.

CMMI (Capability Maturity Model Integration)

O CMMI, desenvolvido pela Carnegie Mellon Universty para o Departamento de Defesa Americano, é uma forma de avaliar a maturidade dos processos de uma organização. Os níveis e meios para mensurar a maturidade estão melhor descritos neste post.

NIST SP 800-53

O COBIT propõe um conjunto de controles para o setor privado. Para o setor governamental o NIST propõs o padrão SP 800-53 com um conjunto de controles que as agências governamentais precisam estar em conformidade para atendimento da lei FISMA (Federal Information Security Management Act of 2002). Os controles e mais detalhes sobre o padrão estão descritos neste post.

Por fim…

Como inicialmente explicado, a lista não é exaustiva e não possui detalhes sobre cada um dos frameworks. O proposto é realizar uma abordagem geral de frameworks utilizados pela indústria e governo na área de segurança da informação.