10 Coisas que eu gostaria de ter sabido antes de ingressar na área de Segurança da Informação

10 Coisas que eu gostaria de ter sabido antes de ingressar na área de Segurança da Informação

Se algum dia eu resolver escrever sobre o que eu aprendi apenas após ter tentado e errado, provavelmente será um longo, muito longo artigo, capaz de rivalizar com mais da metade do conteúdo da Wikipédia. E o melhor: Eu não vejo nada de errado com isso!

Desde basicamente sempre eu me vi um fã do método da tentativa e erro para descobrir como o mundo funciona. Isso é um instinto que temos desde pequenos, afinal foi o que usamos para aprender as coisas mais básicas como, por exemplo, andar, falar, nadar. Conforme chegamos a fase adulta, perdemos muito dessa aptidão, mas acredito que como um bom gamer, fui influenciado a testar, errar, perder vidas, usar contiues até conseguir salvar a princesa no último castelo.

Bem, se aprender com os próprios erros é algo bom, ter a oportunidade de aprender com os erros de outrem é significativamente melhor. É isso que busco passar aos meus alunos em cursos de gestão de serviços de TI, governança e segurança da informação. Nessa era onde existem inúmeras opções para se buscar conteúdo básico, acredito que trocar experiências é bem mais enriquecedor do que simplesmente discutir o material padrão em sala de aula.

Foi assim que pensei nesse artigo. Lá se vão mais de 10 anos que já atuo com Segurança da Informação e uma das perguntas mais frequentes de colegas/alunos/amigos em redes sociais é “como faço para começar a trabalhar com segurança?”. Bem, esse é um tema que certamente rende outro texto bem legal, mas hoje gostaria de compartilhar com vocês alguns pontos que eu realmente gostaria de ter conhecido antes de ingressar na área. A lista não está em nenhuma ordem específica e, obviamente, essa foi/está sendo uma jornada bem pessoal que agora partilho com vocês.

1.      Segurança da informação é bem mais abrangente do que segurança de TI (cibersegurança): Quando iniciei com segurança da informação eu imaginava que passaria o resto da minha carreira basicamente trabalhando com tecnologias como firewalls, roteadores, hardening de sistemas operacionais, correções de vulnerabilidades técnicas. Foi com um certo espanto (para não dizer receio) que me vi responsável pela segurança física de ambientes críticos para as operações da empresa, atuando junto a equipe jurídica na definição de aspectos legais e gastando boa parte do meu tempo na “simples” tarefa de educar pessoas sobre o tema. Hoje em dia gasto boa parte do meu dia de trabalho em atividades que buscam mudar a “cultura corporativa”, algo que é essencial a implantação de uma segurança da informação efetiva.

2.      Você não precisa ser um expert em tecnologias específicas: Ainda ligado ao item anterior, meus primeiros trabalhos na área de segurança foram relacionados ao uso de firewalls mas conforme evolui profissionalmente, me descobri mais e mais afastado do conhecimento técnico puro. Segurança da Informação é uma disciplina que permeia todos os níveis hierárquicos da empresa, do mais operacional até (esperamos!) decisões estratégicas. Um dos primeiros passos para se tornar um bom gestor é aprender a delegar ações operacionais a sua equipe e focar nos resultados e entrega de valor ao negócio. Entenda, existem vários cargos que vão exigir um profundo conhecimento técnico como, por exemplo, quando for necessário realizar um teste de intrusão baseado em exploits que você mesmo construiu ou fazer engenharia reversa de algum novo malware. Se isso é o que você quer fazer, ótimo! Existem diversas opções de carreira! Apenas não se sinta limitado. Um bom gestor precisa focar muito mais em construir equipes confiáveis, compreender como a tecnologia funciona e, especialmente, como ela se encaixa dentro da visão geral de sua arquitetura de segurança, do que saber simplesmente “meter a mão na massa”.

3.      As normas da família ISO 27000 basicamente explicam basicamente tudo que você precisa saber para entender o que é segurança da informação: Sim, eu vou admitir um crime! Eu sequer havia ouvido falar da ISSO 27001 quando comecei a trabalhar com segurança. Meus primeiros passos foram muito mais focados em seguir as regras impostas pela política corporativa que, na época que eu trabalhava em uma empresa multinacional, já fazia referência a termos como Sarbanes-Oxley 404, ISO 27001, CobiT, ITIL. Não, eu realmente não sabia o que eram nenhum deles e perdi muito tempo por conta disso. Um colega mais experiente me presenteou com algumas publicações da ISO e um livro introdutório da ITIL (eu já era responsável pelos processos de configuração e mudança na minha empresa, e nem sabia o que era gestão de serviços de TI!). Só posso dizer que foram leituras bem esclarecedoras e tive vários momentos de “Ahhh, é por isso que eu faço dessa forma.”. Se tiver oportunidade, não perca tempo e leia! A ISO 27000 pode ser obtida gratuitamente nesse link! O CobiT é gratuito para associados da ISACA, as demais normas e outras publicações, infelizmente só comprando.

4.      Esteja preparado para se decepcionar com algumas pessoas: Na primeira vez que implantei um serviço de proxy/filtro web, passei vários dias espantado com a quantidade de material inapropriado que as pessoas tentavam acessar, bem como sua “criatividade” quanto ao tipo de assunto pesquisado na internet. Bem, isso realmente me surpreendeu, mas o triste foi ter a vivencia de participar de investigações onde descobri que pessoas bem próximas não eram exatamente honestas. O primeiro instinto sempre foi o de perguntar diretamente, pedir uma explicação, pois os resultados só podiam estar errados. Felizmente, alguns colegas mais experientes, especialmente das áreas de auditoria, me ajudaram muito a manter uma postura imparcial e ética.

5.      Você vai descobrir quem realmente são seus amigos: Talvez esse ponto esteja um pouco relacionado ao item anterior. No meu primeiro ano como Security Officer, quando tive que implantar uma série de controles bem restritivos, percebi que várias pessoas se afastaram do meu convívio e, algumas semanas depois de termos iniciado o controle de acesso a internet, meu carro misteriosamente apareceu com pneus vazios e alguns arranhões nada acidentais (não se sintam mal, a empresa me ressarciu!). Muitas vezes a área de segurança é percebida de maneira bem negativa dentro da empresa, afinal “bloqueamos” e “monitoramos” tudo, pessoas podem chegar ao ponto de ser demitidas quando violam algum controle, isso definitivamente não vai contribuir para sua popularidade dentro da empresa. Felizmente, conforme a disciplina evolui, eu percebo que esse cenário tem mudado nos últimos anos (meu carrinho passa muito bem, obrigado!).

6.      Pessoas são bem mais importantes que tecnologias e processos: Quando comecei a estudar segurança da informação, logo conheci os pilares básicos: Confidencialidade, Integridade e Disponibilidade. Mas muitas vezes não lembramos que eles são apoiados diretamente por Pessoas, Processos e Tecnologias. Desses três últimos, certamente as pessoas são o ativo estratégico mais importante a segurança da informação, bem como o que vai demandar mais esforço para garantir a proteção corporativa. Não é a toa que uma das frases mais comuns é dizer que pessoas “são o elo fraco” da segurança, isso é uma verdade que não mudou ao longo dos anos e que dificilmente vai se alterar no futuro próximo. Paradoxalmente, sem pessoas preparadas, você pode contar com a melhor tecnologia e os mais bem definidos processos, ainda assim existe uma grande chance de falha. Investir tempo dialogando, explicando, conscientizando e condicionando os colaboradores da sua empresa é uma ação estratégica que, a longo prazo, entrega muito mais valor do que a implantação de qualquer tecnologia.

7.      Controlar é diferente de bloquear, dialogar é diferente de simplesmente dizer não: Cada vez que crio uma campanha de conscientização parte do foco vai para tirar a imagem negativa que nós, profissionais da área, criamos para segurança da informação. Por muito tempo fomos percebidos como a equipe do NÃO. Posso colocar minha empresa na internet? Não, é inseguro. Posso permitir que meus colaboradores tenham acesso remoto? Não, é inseguro. Posso permitir uso de equipamento pessoal no ambiente de trabalho? Não, é inseguro. Posso levar meu sistema crítico para a nuvem? NÃO! JÁ FALEI, É INSEGURO! Sim, ao longo dos últimos anos, conforme a tecnologia evoluía e se tornava onipresente, cada vez mais vi profissionais responderem negativamente antes de pensar se aquilo traria um benefício ao negócio. Precisamos aprender a dialogar com as diversas áreas corporativas, explicar que é possível fazer praticamente qualquer operação de maneira segura, desde que a empresa esteja disposta a fazer os investimentos necessários para garantir a implantação de controles e seguir regras básicas de segurança. Da mesma forma que não é possível eliminar todos os riscos ao negócio, não é possível (nem necessário) bloquear tudo. Um ambiente adequadamente controlado consegue conviver harmoniosamente com os riscos persistentes e, ao mesmo tempo, estar preparado para situações adversas como crises e desastres.

8.      Saber dialogar no idioma da alta direção: Não é possível se fazer segurança da informação sem o apoio direto da alta direção (diretores, donos, acionistas, conselho administrativo ou qualquer outra entidade que se aplique a sua empresa!). Uma das maiores dificuldades que profissionais que possuem conhecimentos eminentemente técnicos tem é garantir uma boa comunicação com executivos. Invista tempo e esforço para tentar entender os valores da sua empresa, quais são seus objetivos estratégicos e como a segurança da informação pode agregar aos resultados da organização. Essa é a natureza da entrega de valor e, no final do dia, é o que vai garantir que segurança não seja percebida como um peso morto, mas sim vista como um facilitador do negócio, uma disciplina estratégica, alinhada a visão e missão corporativa.

9.      Inglês ainda é indispensável: Talvez eu devesse ter colocado esse ponto no início, dada sua importância. Como meu pai era tradutor-interprete e eu herdei uma facilidade com idiomas, apreendendo inglês basicamente por osmose, é provável que eu não tenha valorizado tanto esse conhecimento. Mas a realidade é que diversas oportunidades profissionais foram facilitadas pelo fato de eu ser bilíngue. Na minha primeira auditoria internacional eu não era o profissional mais experiente, mas dominava perfeitamente o inglês, além de conseguir fingir razoavelmente bem falar castelhano (Saludos a mis amigos en Chile!) em uma época onde não havia Google Translator. É claro que essa foi uma vivencia pessoal, mas com a quantidade de material de estudo em inglês, além de provas de certificação que não foram traduzidas e um mercado internacional bem atraente, não dá para argumentar. Ter um segundo idioma (escolhas obvias: inglês, espanhol, alemão, francês, chinês) é uma obrigação para um profissional que quer se destacar no mercado.

10.  Certificações te ajudam, mas não substituem experiência: Ah, certificações, ainda esta semana li aqui no linkedin um artigo sobre como elas estavam matando o “mercado de segurança da informação”. Bem, se você viu meu perfil, acho que não preciso explicar que não concordo com essa visão. Investi muito do meu tempo direcionando estudos para certificações na área de segurança. Pessoalmente o resultado foi espetacular. Novamente, muitas portas se abriram, o último exemplo é o razoável sucesso que tenho tido como escritor freelancer para empresas nos EUA, Canadá e EU. Nenhum dos clientes me conhecem pessoalmente, mas tanto meu portfólio profissional, quanto a sopa de letrinha das certificações contribuíram muito na hora de fechar o primeiro trabalho. Entenda, um título é apenas o seu cartão de visita, ele pode até te render uma boa oportunidade, mas é o seu esforço, compromisso, atitude e competência que vão garantir a manutenção dessa posição. Meu conselho é investir sim em cursos e certificações, especialmente aquelas que são independentes de fabricante como as da EXIN, ISACA, ISC2, CompTIA e similares. Entretanto, esteja atento: por mais que os seus instrutores se esforcem para passar conhecimento prático, nada substitui experiência. Sempre que possível procure colocar em prática aquilo que você aprendeu em sala de aula ou estudando sozinho, caso contrário, será conhecimento perdido.

Bem, aí está, foram 10 pontos que considero muito importantes e que sinceramente gostaria de ter sabido quando comecei a trabalhar com segurança da informação. Se você teve paciência e leu até aqui, bem, segue o 11º como um bônus: Não consigo imaginar uma área mais desafiadora, enriquecedora, em ampla fase de crescimento, carente de profissionais qualificados e que remunera muito bem. Não tenha medo de abraçar essa carreira, as oportunidades são enormes e a recompensa, além da jornada em si, é bem pragmática.

1° de abril deveria ser o dia internacional da cibersegurança!

1° de abril deveria ser o dia internacional da cibersegurança!

Sempre gostei do 1° de abril. Desde criança, nunca perdi a mania de fazer algum tipo de brincadeira boba. Algumas foram razoavelmente divertidas, como quando publiquei um check-in (obviamente falso) no topo do Everest e avisei que iria me atrasar para uma reunião importante. Outros casos meio que me colocaram em uma situação complicada, tipo quando mudei a data do meu aniversário em redes sociais para 01/04, passei o dia recebendo “parabéns” e meus colegas acabaram fazendo aquela velha boa vaquinha para uma festinha no trabalho. Alguns não ficaram exatamente felizes em saber que tudo não passava de uma brincadeira, mas no final demos boas risadas.

Você pode estar se perguntando: O que isso tem haver com cibersegurança? Bem, o fato é que – mesmo através dessas pequenas brincadeiras em redes sociais – tenho visto que no dia primeiro de abril as pessoas estão mais céticas em relação ao mundo digital. Viu uma notícia que o Google vai imprimir e enviar as mensagens do gmail para sua casa? Opa, isso deve ser mentira. A Google vai lançar um buscador “pet-friendly” para seu bichinho? Claro que não! O Subway vai lançar uma linha de sorvetes “subzero” nos sabores atum, frango tikka e almondegas marinara? Divertido, mas não é sério, serve apenas para rir.

Homer aprovaria 🙂

E é isso mesmo, por um dia adotamos uma visão crítica e atitude cética que despreza a ideia de que “se está na internet deve ser verdade! ”. Agora pergunto, por que não adotar essa mesma postura quando recebemos uma “comunicação do banco” pedindo para revalidar sua tabela de senhas para não ter a conta bloqueada? Por que não agimos da mesma forma quando um documento de Word ou Excel, baixado de um site não-inteiramente-confiável, pede para ativar macros? Por que, como dizia Bruce Schneier, os usuários sempre escolhem os porquinhos dançando ao invés de pensar em segurança? Com a atitude de primeiro de abril isso pode mudar!

Boa segurança da informação depende de PESSOAS, processos e tecnologias, você já deve ter ouvido repetidas vezes que “pessoas são o elo fraco”. Infelizmente essa afirmação tem se mantido impiedosamente verdadeira nas últimas décadas. De nada adianta investirmos na melhor tecnologia, quando não se tem processos maduros e, principalmente, pessoas treinadas e conscientes de suas responsabilidades quanto a segurança da informação.

No final do dia, em se tratando de pessoas, o que realmente precisamos é garantir um bom CHA: Conhecimento, Habilidades e Atitude. Novamente, essa atitude cética e olhar crítico que adotamos no 1° de abril, se replicada o ano todo, teria um resultado espetacular em termos de proteção contra ameaças que vem atormentando profissionais da área e causando enormes prejuízos a empresas em todo mundo: Engenharia social (presencial, telefônica ou mesmo com uso de tecnologia), phishing, spear-phishing, infecções por ransomwares e outros códigos maliciosos, a lista é extremamente grande.

Quando o assunto for segurança da informação, invista em uma visão crítica e abordagem cética. Pensar antes de clicar não te custa nada, mas protege bastante. Passe essa mensagem para seus colaboradores ou colegas de trabalho, essa atitude pode poupar você e sua empresa de muita dor de cabeça 🙂

Deixo aqui um último desejo: Que o primeiro de abril dure o ano todo!

Alta Direção: Como a Segurança da Informação deve conquistar seu apoio?

Alta Direção: Como a Segurança da Informação deve conquistar seu apoio?

UM DOS MAIORES DESAFIOS PARA SEGURANÇA DA INFORMAÇÃO É A CONQUISTA DO APOIO DA ALTA DIREÇÃO.  Esse tema é tão relevante que a ISO 27001, em sua última atualização, resolveu dedicar uma seção exclusiva para falar de liderança e comprometimento da alta direção.

Mas o que tona isso é tão difícil? No cenário de hoje notícias de vazamento/venda/sequestro de informações se tornaram rotina e isso é só a ponta do iceberg dos incidentes de segurança da informação. Com ameaças tanto internas quanto externas, era de se esperar que o tema tivesse mais aceitação no nível de diretoria ou do board, mas essa nem sempre é a realidade.

O que nós, profissionais da área de segurança da informação, estamos fazendo errado? Bem, muitas vezes é uma questão de foco. Infelizmente, segurança ainda é entendida como uma disciplina primariamente técnica, algo extremamente prejudicial e que joga por terra a ideia de conseguir dar alguma contribuição para a estratégia corporativa. Mas como vamos conseguir mudar isso?

Sem citar diretamente Sun Tzu, e partindo do princípio que você já conhece suas próprias limitações, o primeiro e mais importante passo é compreender como funciona a mente de um gestor. Pense bem, quais são os motivadores que levam alguém responsável pelo futuro e sucesso de uma corporação a tomar uma decisão? O exemplo a seguir é bastante genérico e se aplica melhor ao mercado privado, mas não deixa de ser uma reflexão importante:

A verdade é que apesar de toda relevância do tema, a segurança da informação não é um objetivo em si, devendo ser entendida como apenas um meio (ok, um meio MUITO importante!) para garantir que os objetivos de negócio sejam atingidos.

Dessa forma, acredito que a melhor estratégia para ganhar os corações e mentes da alta direção e ter segurança como uma disciplina efetivamente estratégica na sua empresa, passa por responder como segurança da informação torna o negócio mais competitivo, se existe alguma lei/regulamentação/requisito contratual que deve ser obrigatoriamente atendido e, especialmente, qual será a contribuição da segurança da informação para o aumento de receita da empresa?

Paradoxalmente, garantir os itens acima requer uma abordagem diferente do que é empregado na maioria das organizações. Por exemplo, quando criamos um processo de negócio, na maioria das vezes as empresas esperam que este esteja montado, testado, documentado e praticamente em produção para aí pensar, onde se encaixam aspectos de segurança? Em meus anos de consultoria acabei encontrando bastante esse dilema e apelidando carinhosamente de síndrome da cereja do bolo.

Considero a analogia é perfeita, não é possível esperar que o bolo esteja completo, com massa, recheio e cobertura, para apenas nesse momento colocar uma linda cereja e pensar “estamos seguros”. Infelizmente essa abordagem é a que leva aos maiores e mais impactantes incidentes de segurança. Idealmente, temos que garantir requisitos para a proteção dos dados corporativos em todas as fases da montagem do bolo.

Para mudarmos esse paradigma e obter o tão sonhado apoio da Alta Direção é vital que você consiga demonstrar que um alinhamento aos objetivos estratégico não só é viável, como faz parte do objetivo central da área de segurança. Sem um alinhamento claro, não será possível demonstrar o valor real que é entregue ao negócio.

Com essa estratégia e falando no mesmo “idioma” é bem mais fácil conseguir aliados em posições vantajosas, capazes de tornar a Segurança da Informação uma realidade dentro da sua organização.

Próximo desafio? Mudar a CULTURA CORPORATIVA, que como bem dizia Peter Drucker, continua devorando a estratégia no café da manhã.

IoT na Saúde: A sua segurança não é exatamente o que o doutor receitou!

IoT na Saúde: A sua segurança não é exatamente o que o doutor receitou!

NÃO SE ASSUSTE! Ok, você pode se assustar um pouco, é normal! Riscos em IoT (internet das coisas) não é exatamente uma novidade, mas marca-passos, bombas de insulina, desfibriladores e qualquer outro tipo de equipamento médico inteligente e interconectado representam uma das mais atemorizantes fontes de ameaça no cenário atual de cibersegurança.

A preocupação mais óbvia é com a proteção do paciente que pode ser vítima, por exemplo, de uma bomba de insulina hackeada, usada para dispensar uma dose literalmente fatal, ai não tem backup que dê jeito. A segunda grande preocupação é com a infraestrutura tecnológica de grandes hospitais e centros de saúde, que se tornam cada vez mais vulneráveis devido a quantidade de conexões, usualmente inseguras, de hardware médico embarcado com uma infinidade de sensores e monitores.

Iot, Cibersegurança e medicina

IoT na medicina: Estamos seguros?

Esse tipo de conexão insegura pode muito bem ser usado como uma porta de entrada para disseminação de códigos maliciosos ou sequestro de informações sensíveis como, por exemplo, registros médicos. Por enquanto ainda não existem registros de ciberataques fatais a pacientes, mas em 2016 não faltou exemplo de hospitais comprometidos com ransomwares.

Como esse cenário não é novo, seguimos com a vã esperança que as empresas que fabricam dispositivos médicos estejam atentas as boas práticas de cibersegurança. Preciso mesmo dizer que isso ainda não acontece? Pois é.

O atual nível de exposição de equipamento médico é bem fácil de ser comprovado. Faça uma busca simples no Shodan usando termos como “cardiologia” ou “radiologia”. É bem fácil encontrar alguns exemplos aqui do Brasil. Se você expandir a busca para termos em inglês, bem é estimado que pelo menos 40.000 equipamentos americanos estejam expostos atualmente. É difícil acreditar que todos sejam realmente seguros.

Iot, Cibersegurança e medicina

Shodan.io: Busca por cardiologia

Iot, Cibersegurança e medicina

Shodan.io: Busca por radiologia

Acredito que nem todo mundo pense em uma máquina de tomografia ou equipamentos similares como plataforma de  disseminação de um ataque, mas quando você descobre que uma parte significativa desses equipamentos ainda usa sistemas operacionais como Windows XP ou Windows Server 2003, fica fácil imaginar por que ataques como o MedJack usavam malware literalmente ancião para atacar especificamente dispositivos hospitalares.

Para o ambiente corporativo hospitalar a solução é bem conhecida, razoavelmente simples, mas talvez não seja algo exatamente fácil de implantar. Com um bom programa de gestão de riscos, você pode identificar todos os equipamentos vulneráveis e quais seriam os tratamentos adequados. O problema vai ser conseguir o apoio de fabricantes para o desenvolvimento de atualizações e correções.

Se o sequestro de informações médicas já é algo extremamente delicado, imagine que um cracker literalmente “roubou” seu coração marca-passo e está exigindo uma “doação” de bitcoins nas próximas horas para não te enviar um ataque cardíaco remoto? Não é uma situação nada agradável. Acesso wireless, monitoramento remoto, NFC, são todas conveniências que beneficiam o paciente, permitem que profissionais de saúde façam ajustes sem procedimentos invasivos, mas sem proteção adequada, se tornam pontos de alta exposição que podem literalmente acabar com vidas.

E quando o alvo for você? Será que é sensato confiarmos nossa existência aos escassos controles de segurança dos equipamentos médicos inteligentes instalados em nosso frágil e já debilitado corpo? Pelo menos por enquanto, não consigo acreditar que seja uma boa ideia. Que tal um pouco de Segurança em Camadas?

Iot, Cibersegurança e medicina

Seu corpo, suas regras de segurança!

Download gratuito: Ferramenta do NIST de excelência em cibersegurança!

SABER É METADE DA BATALHA. Essa frase (que ouvi a primeira vez vendo G.I Joe / Comandos em ação!) pode até soar como o mais velho dos clichês, entretanto não deixa de ser uma recomendação bastante prudente, especialmente quando lidamos com disciplinas estratégicas como gestão de serviços de TI, governança, continuidade de negócios e cibersegurança.

gijoe

Em termos de publicações e boas práticas, as opções são bem diversificadas. O próprio Cobit 5 é bem abrangente e, quando falamos de Segurança da Informação o processo DSS05 Manage Security Services e suas práticas são uma ótima opção para medirmos a maturidade ou mesmo melhorarmos a gestão da segurança da informação como um todo.

cobit5dss05racichart
Cobit 5 – Enabling processes – DSS05 RACI Chart

Agora, se o seu foco é ter um bom entendimento de como anda a cibersegurança na sua organização, uma publicação razoavelmente recente do National Institute of Standards and Technology (NIST) vai chamar sua atenção!

O Baldrige Cybersecurity Excellence Builder é uma ferramenta gratuita para auto avaliação. Mesmo ainda estando em rascunho (a última versão publicada pelo NIST é de setembro de 2016) o conteúdo bastante maduro e efetivo.

A ideia básica é fornecer às organizações um meio prático para compreender melhor a efetividade dos esforços de gestão de riscos de cibersegurança, ajudando líderes das organizações a identificar oportunidades de melhoria com base nas suas necessidades e objetivos de cibersegurança, bem como em suas maiores necessidades, objetivos e resultados organizacionais.

Com a auto avaliação do Baldrige Cybersecurity Excellence Builder é possível:

  • Determinar atividades relacionadas à cibersegurança que são essenciais para a estratégia do negócio e prestação de serviços críticos;
  • Priorizar investimentos na gestão do risco de cibersegurança;
  • Determinar a melhor forma para garantir que colaboradores, clientes, fornecedores, e demais parceiros estejam conscientes de riscos e de segurança e cumpram seus papéis e responsabilidades na cibersegurança;
  • Avaliar a efetividade no uso de normas, diretrizes e boas práticas de cibersegurança;
  • Avaliar os resultados dos esforços de cibersegurança; e
  • Identificar prioridades de melhoria.

A abordagem é bastante pragmática e fácil de ser seguida, mas é importante lembrar que – como qualquer tipo de auto avaliação – os resultados devem ser avaliados criticamente por uma por alguém com razoável experiência no assunto, para evitar que ocorram falhas no entendimento.

nist01 nist02

Conforme mencionado, o Baldrige Cybersecurity Excellence Builder é uma ferramenta gratuita e pode ser obtida clicando AQUI.

Ponto importante: O guia está em consulta pública, comentários e sugestões podem ser enviados para BaldrigeCybersecurity@nist.gov

Bom proveito!

Fontes:

https://www.nist.gov/news-events/news/2016/09/nist-releases-baldrige-based-tool-cybersecurity-excellence