Frameworks de InfoSec

Muitos das pessoas que trabalham com InfoSec iniciaram suas carreiras atuando em nichos técnicos bem específicos. E ao longo do tempo atuando na área vamos nos deparando com guidelines e padrões elaborados por institutos e órgãos com o propósito de fomentar ou regulamentar a área de segurança da informação.

O propósito desta publicação é justamente fazer um apanhado de alguns frameworks encontrados no mercado e fazer breve resumo de cada um. A lista não será exaustiva mas propõe dar um norte a quem precisar.

DoDAF (The DOD Architecture Framework)

Elaborado pelo Departamento de Defesa Americano, o DoDAF é um framework de arquiteutra que propõe a interoperabilidade entre diferentes sistemas militares. O foco é em uma arquitetura para comando, controle, comunicações, computadores, inteligência, vigilância e processos. Essa arquitetura propõe que não apenas os protocolos sejam interoperáveis, mas também como os dados são armazenados e utilizados. Sempre com o propósito de permitir com que a missão, seja ela qual for, seja finalizada com sucesso e sem impecilhos técnicos.

MoDAD (Ministry of Defence Architecture Framework)

Desenvolvido pelo Ministério da Defesa britânico, é baseado no DoDAF das forças americanas. O principal propósito do framework é permitir a troca de dados no formato correto e utilizável entre as partes envolvidas e permitir apenas com que quem deve possuir o acesso assim o faça o mais rápido possível. O foco é semelhante ao DoDAF, permitindo com que as decisões sejam tomadas de forma rápida e certeira.

TOGAF (The Open Group Architecture Framework)

O framework TOGAF foi originário também do Departamento de Defesa Americano. Provê uma abordagem para o desenvolvimento e implantação de arquiteturas de sistemas para ambientes corporativos. Pode ser utilizado para o desenvolvimento dos seguintes tipos de arquiteturas: negócio, dados, aplicações e tecnologia. Para o desenvolvimento dessas arquiteturas utiliza do método ADM (Architecture Development Method). Esse método é um processo iterativo e permite com que os requisitos sejam continuamente revistos e atualizados na arquitetura. Através do método uma arquitetura pode ser compreendida através de quatro diferentes pontos de vista: negócio, dados, aplicações e tecnologia.

Zachman

Desenvolvido na década de 80 por John Zachman, foi um dos primeiros frameworks para o desenvolvimento de sistemas corporativos. É um framework genérico que pode ser utilizado para o desenvolvimento de sistemas de segurança.

Utiliza para tanto uma tabela bidimensional com seis interrogações (O que, Como, Onde, Quem, Quando e Porque) fazendo interceção com diferentes perspectivas (por exemplo: executivos, gerentes de negócio, arquitetura de sistemas, engenheiros, técnicos e restante da corporação). As perspectivas são determinadas de acordo com o uso do framework. Através dessa tabela é possível ter uma compreensão holística da organização, onde cada linha da tabela descreverá toda a organização de determinada perspectiva. O exemplo a seguir apresenta uma tabela do framework de acordo com as perspectivas: Contextual, Conceitual, Lógica, Física e Detalhada.

Fonte: https://en.wikipedia.org/wiki/Zachman_Framework

A proposta com o Framework Zachman é permitir ter diferentes perspectivas sobre determinado objeto de uma organização. Todas as perspectivas atuando para suportar o propósito da organização e/ou do sistema que está sendo modelado.

SABSA (Sherwood Applied Business Security Architecture)

Apesar de bastante semelhante ao Framework Zachman, foi desenvolvido de forma independente a esse com o foco em segurança. É um framework multi-camadas, onde conforme se desce nas camadas menos abstração é esperado e mais detalhes de implementação/operacionalização são apresentados. Dessa forma permite a conceituação a partir de políticas até a prática. Cada coluna dessa tabela possui perguntas a serem respondidas a cada camada:

  • O que você está tentando fazer nessa camada?
  • Por que você está fazendo isso?
  • Como você irá tentar fazer isso?
  • Quem é envolvido?
  • Onde você está fazendo isso?
  • Quando você fará isso?
Fonte: https://www.vanharen.net/blog/enterprise-architecture/sabsa-in-3-minutes/

ISMS (Information Security Management System)

A ISO/IEC desenvolveu um padrão com o propósito de auxiliar as organizações a desenvolver seu programa de segurança, ou o sistema de gestão de segurança da informação (ISMS). O propósito é ajudar no projeto, implementação e manutenção de políticas, processos e tecnologias para a gestão de riscos e ativos com informações sensíveis. O padrão foi proposto através de uma série de publicações conhecida por ISO/IEC 27000. Essa foi mais detalhada nesta publicação.

COBIT (Control Objectives for Information and related Technology)

O COBIT é um framework para governança e gestão desenvolvido pela ISACA (Information Systems Audit and Control Association) e ITGI (IT Governance Institute). O propósito desse framework é otimizar o valor da TI para as organizações, auxiliar no uso de recursos, níveis de risco e realização de benefícios. Tudo é sempre realizando tendo os stakeholders como objetivo da organização e a IT auxiliando no processo. Os princípios do COBIT são:

  • Atender as necessidades dos stakeholders
  • Cobertura fim a fim da organização
  • Aplicar um único framework integrado para toda a organização
  • Permitir uma abordagem holística
  • Separar governança e gestão

Para COBIT, como já falado, tudo é associado aos stakeholders. O propósito é que a qualquer momento seja possível se questionar o porquê de algo a ser feito, e a resposta seja associada a um objetivo da TI, que por sua vez atende a um objetivo da organização que leva a satisfazer uma necessidade dos stakeholders.

De forma a auxiliar no processo de realizar esse mapeamento, o COBIT possui dois conjuntos de 17 objetivos diferentes, mas  relacionados.

O framework inclui e diferencia a governança e gestão. A governança seriam os processos nos C-levels (exemplos: CTO, CEO, CSO) enquanto a gestão seria realiza pelas demais lideranças da organização.

COSO IC (Committe of Sponsoring Organizations – Internal Control)

O COBIT foi derivado do COSO IC. COSO que promoveu a Treadway Commission em 1985 para lidar com atividades de fraudes financeiras. O COSO identifica para uma organização 17 princípios de controles internos que são agrupados em 5 componentes:

Controle de ambiente 

  1. demonstrar comprometimento com integridade e valores éticos
  2. exercitar responsabilidades
  3. estabelecer estrutura, autoridade e responsabilização
  4. demonstrar comprometimento com competência
  5. reforçar o accountability.

Avaliação de risco

  1. especificar objetivos adequados
  2. identificar e analisar risco
  3. avaliar risco de fraude
  4. identificar e analisar mudanças significativas.

Atividades de controle

  1. definir e desenvolver atividades de controle
  2. definir e desenvolver controles gerais sobre tecnologia
  3. implantar através de políticas e procedimentos.

Comunicação e Informação

  1. utilizar informação relevante e de qualidade
  2. comunicar internamente
  3. comunicar externamente.

Atividades de monitoração

    1. conduzir avaliações em curso e separadas
    2. avaliar e comunicar deficiências.

O COSO IC é uma modelo para governança corporativa. O COBIT é um modelo para governaça de TI. Se fosse separar, o COSO é adequado para uso em níveis estratégicos da organização enquanto o COBIT é focado em níveis operacionais. O COBIT pode ser utilizado para atendimento dos objetivos do COSO a partir da perspectiva de TI. Importante frisar isso pois o COSO é aplicável a outros contextos, como cultura organizacional, pricípios de accounting financeiro, responsabilidades do corpo diretor e estruturas de comunicação interna. Tanto que a lei Sarbanes-Oxley Act (SOX) de 2002 – que tipifica como crimes diversos tipos de fraudes – é baseado no modelo COSO. Ou seja, se uma compania está em conformidade com a lei, essa atende aos princípios COSO. ISO/IEC 27000 e COBIT apoiam, da perspectiva de TI, o modelo COSO.

ITIL (Information Technology Infrastructure Library)

ITIL foi desenvolvido na década de 80 pela UK’s Central Computer and Telecommunications Agency. Atualmente é controlada pela Axelos, que é uma joint-venture do governo britânico e a empresa privada Capita.

ITIL é de fato um padrão para melhores práticas em gerência de serviços de TI. Foi proposto para estreitar o relacionamento entre o negócio e a TI. A falha de uma linguagem comum de comunicação entre a TI e o restante da organização gera confusão, perda de prazos, oportunidades e aumenta o custo e trabalho tanto no lado técnico quanto no lado do negócio. ITIL provê processos com entradas e saídas definidas. O principal foco é no estabelecimento e cumprimento de SLA (Service Level Agreement) entre o departamento de TI e seus “consumidores”, que são no caso o restante da organização.

Six Sigma

Six Sigma é uma metodologia de melhoria desenvolvido pela Motorola. Seu principal objetivo é melhoria de processos através da análise estatística da eficiência das operações. Six Sigma é utilizado para avaliação de segurança na indústria em alguns contextos. A maturidade de um processo de acordo com a metodologia é descrita através de uma avaliação através de uma classificação que indica a porcentagem de defeitos que um processo possui.

CMMI (Capability Maturity Model Integration)

O CMMI, desenvolvido pela Carnegie Mellon Universty para o Departamento de Defesa Americano, é uma forma de avaliar a maturidade dos processos de uma organização. Os níveis e meios para mensurar a maturidade estão melhor descritos neste post.

NIST SP 800-53

O COBIT propõe um conjunto de controles para o setor privado. Para o setor governamental o NIST propõs o padrão SP 800-53 com um conjunto de controles que as agências governamentais precisam estar em conformidade para atendimento da lei FISMA (Federal Information Security Management Act of 2002). Os controles e mais detalhes sobre o padrão estão descritos neste post.

Por fim…

Como inicialmente explicado, a lista não é exaustiva e não possui detalhes sobre cada um dos frameworks. O proposto é realizar uma abordagem geral de frameworks utilizados pela indústria e governo na área de segurança da informação.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *