Governo Federal – Brasil
Overview: O guia do Framework de Segurança é uma adição à série de guias operacionais elaborados pela Secretaria de Governo Digital (SGD), da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia para fomentar a adequação à proteção dos dados pessoais. Um desses documentos operacionais, o Guia de Avaliação de Riscos de Segurança e Privacidade, pode ser utilizado diretamente como complemento deste, visto que, à medida que os controles são implementados, pode-se avaliar um determinado sistema crítico diante dos riscos aos dados pessoais tratados por ele. A avaliação descrita no Guia de Avaliação de Riscos de Segurança e Privacidade é realizada por uma ferramenta de acesso aberto ao público.
O objetivo deste Guia do Framework de Segurança é fornecer aos profissionais de segurança da informação uma maneira de iniciar a identificação, o acompanhamento e o preenchimento das lacunas de segurança da informação presentes na instituição em relação aos 20 Controles de Segurança elaborados pelo CIS.
Para tanto, o Guia é inspirado nos documentos: CIS Control, versão 7.1, AuditScripts-CIS-Controls-Initial-Assessment-Tool, versão 7.1d e Framework for Improving Critical Infrastructure Cybersecurity, versão 1.1. O Guia não substitui a leitura dos documentos originais na busca por informações complementares.
O documento (ferramenta) AuditScripts-CIS-Controls-Initial-Assessment-Tool oferece a possibilidade de acompanhar a implementação dos 20 controles do CIS por meio da alimentação de informações numa planilha com gráficos que permitem identificar o estágio atual da instituição. A ferramenta é complementar a este Guia e sofreu adaptações, a fim de manter integração aos projetos desenvolvidos pelas equipes técnicas da Secretaria de Governo Digital. O Capítulo 4 descreve o funcionamento do documento a partir dessas adaptações.
Ao longo do Guia, são abordados os Grupos de Implementação do CIS, as Funções da Estrutura Básica do Guia de Aperfeiçoamento da Segurança Cibernética para Infraestrutura Crítica do NIST e os 20 Controles do CIS. O último capítulo versa sobre o funcionamento da ferramenta de acompanhamento da implementação dos 20 controles do CIS.
O documento será atualizado à medida que novos ajustes forem necessários para acompanhar o amadurecimento dos processos de segurança da informação.
Ressalta-se que a instituição é livre para adequar todas as proposições deste guia a sua realidade. A abordagem do Guia oferece uma orientação generalizada para priorizar o uso dos Controles do CIS, mas esse fato não exclui a necessidade de que a instituição compreenda sua própria postura de risco institucional. A intenção é ajudar a instituição a concentrar seus esforços com base nos recursos de que dispõe, integrando-os a qualquer processo de gestão de risco pré-existente.
No mesmo sentido, deve ser recordado que a adoção do presente guia não equivale necessariamente a cumprir a legislação brasileira sobre segurança, privacidade e proteção de dados pessoais, em especial a Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD). Contudo, o presente documento seguramente poderá auxiliar a instituição adotante a atingir os objetivos previstos nas normas correlatas, ao permitir a visualização sobre a maturidade de seus trabalhos de segurança da informação e de proteção de dados e ao ampliar a implementação das melhores práticas sobre o tema.