Enquanto navegava pelo LinkedIn hoje, me deparei com uma publicação do Fernando Nery da Módulo sobre o anúncio da Secretaria de Governo Digital do Ministério da Economia acerca do novo framework de segurança da informação baseado no The CIS Critical Security Controls for Effective Cyber Defense, após iniciativas nas Forças Armadas, Banco Central do Brasil (BACEN), Petrobras e Judiciário.
Por isso, com vistas a agregar e compartilhar conteúdo de qualidade, estou publicando aqui no site tais informações.
Guia do Framework de Segurança – Lei Geral de Proteção de Dados Pessoais (LGPD)
Batizado de Guia do Framework de Segurança – Lei Geral de Proteção de Dados Pessoais (LGPD), pretende compartilhar e difundir as melhores práticas internacionais em matéria de segurança da informação, algumas das quais não se encontram integralmente disponíveis em língua portuguesa. É um guia baseado no Center for Internet Security (CIS), no AuditScripts e no National Institute of Standards and Technology (NIST), é especialmente recomendado e dirigido aos órgãos e às entidades da administração pública federal brasileira para auxiliar o atendimento do capítulo VII, “Da segurança e das boas práticas” da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709, de 14 de agosto de 2018), mas pode também ser aproveitado por outras instituições que busquem informações sobre o tema.
Este Guia do Framework de Segurança tem por objetivo fornecer aos profissionais de segurança da informação uma maneira de iniciar a identificação, o acompanhamento e o preenchimento das lacunas de segurança da informação presentes em suas respectivas instituições em relação aos 20 Controles de Segurança elaborados pelo CIS.
Para tanto, o Guia é inspirado nos documentos: CIS Control, versão 7.1, AuditScripts-CIS-Controls-Initial-Assessment-Tool, versão 7.1d e Framework for Improving Critical Infrastructure Cybersecurity, versão 1.1. Cabe lembrar que este Guia não substitui a leitura dos documentos originais na busca por informações complementares.
O documento (ferramenta) AuditScripts-CIS-Controls-Initial-Assessment-Tool oferece a possibilidade de
acompanhar a implementação dos 20 controles do CIS por meio da alimentação de informações numa planilha
com gráficos que permitem identificar o estágio atual da instituição. A ferramenta é complementar a este Guia
e sofreu adaptações, a fim de manter integração aos projetos desenvolvidos pelas equipes técnicas da
Secretaria de Governo Digital. O Capítulo 4 do referido Guia descreve o funcionamento do documento a partir dessas adaptações.
Conteúdo do Guia do Framework de Segurança – LGPD:
Ao longo do Guia, são abordados os Grupos de Implementação do CIS, as Funções da Estrutura Básica do Guia de Aperfeiçoamento da Segurança Cibernética para Infraestrutura Crítica do NIST e os 20 Controles do CIS.
A seguir, é possível visualizar o índice do Guia do Framework de Segurança:
- Sumário
- Aviso Preliminar e Agradecimentos
- Introdução
- CIS
- NIST
- Controles do CIS
- CIS Controle 1: Inventário e Controle de Ativos de Hardware
- CIS Controle 2: Inventário e Controle de Ativos de Software
- CIS Controle 3: Gestão Contínua de Vulnerabilidades
- CIS Controle 4: Uso Controlado de Privilégios Administrativos
- CIS Controle 5: Configuração Segura para Hardware e Software
- CIS Controle 6: Manutenção, Monitoramento e Análise de Logs de Auditoria
- CIS Controle 7: Proteções para e-mail e Navegadores Web
- CIS Controle 8: Defesas contra Malware
- CIS Controle 9: Limitação e Controle de Portas de Rede
- CIS Controle 10: Capacidade de Recuperação de Dados
- CIS Controle 11: Configurações Seguras para Dispositivos de Rede
- CIS Controle 12: Defesa de Perímetro
- CIS Controle 13: Proteção de Dados
- CIS Controle 14: Acesso Controlado com base na Necessidade de Saber
- CIS Controle 15: Controle e Acesso à Rede sem Fio
- CIS Controle 16: Monitoramento e Controle de Credenciais de Acesso
- CIS Controle 17: Implementar Programa de Conscientização e Treinamento em Segurança
- CIS Controle 18: Segurança de Aplicações
- CIS Controle 19: Gerenciamento e Resposta a Incidentes
- CIS Controle 20: Testes de Invasão e Exercícios de “Red Team”
- Ferramenta de acompanhamento da implementação dos controles do CIS
- Estrutura e organização da ferramenta
- Níveis de Maturidade e demais Cálculos
- Referências Bibliográficas
Importante: adotar o guia não significa estar aderente à legislação pertinente
Sim, é isso mesmo. Apenas adotar o conteúdo deste guia não faz com que você esteja cumprindo a legislação brasileira sobre segurança, privacidade e proteção de dados pessoais, em especial a Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD).
Entretanto, o documento seguramente poderá auxiliar a instituição adotante a atingir os objetivos previstos nas normas correlatas, ao permitir a visualização sobre a maturidade de seus trabalhos de segurança da informação e de proteção de dados e ao ampliar a implementação das melhores práticas sobre o tema.
É um excelente conteúdo que pode auxiliar na análise de segurança da informação nas empresas.