CERT Resiliency Engineering Framework é um projeto novo do CERT. Desenvolvido em conjunto com instituições financeiras renomadas e especialistas em continuidade de negócios como: DRII, DRJ, SunGard e IBM, tem um objetivo bastante ambicioso: desenvolver ferramentas, técnicas e metodologias para garantir a resiliência das organizações unindo segurança e continuidade de negócios.
Bom, o que seria Resiliência?
"A resiliência é um termo oriundo da física. Trata-se da capacidade dos materiais de resistirem aos choques. Esse termo passou por um deslizamento em direção às ciências humanas e hoje representa a capacidade de um ser humano de sobreviver a um trauma, a resistência do individuo face às adversidades, não somente guiada por uma resistência física, mas pela visão positiva de reconstruir sua vida, a despeito de um entorno negativo, do estresse, das contrições sociais, que influenciam negativamente para seu retorno à vida. Assim, um dos fatores de resiliência é a capacidade do individuo de garantir sua integridade, mesmo nos momentos mais críticos."
Fonte:
Professora Sandra Maia Farias Vasconcelos, Dr.Resumindo, tornar uma organização resiliente é desenvolver estratégias, controles que garantam a sobrevivência em situações adversas. Ah! Então é o mesmo propósito de um Plano de Continuidade de negócios? Isso. Muito bem "friper"!
Deixando a brincadeira de lado, lendo os materiais disponíveis no site do projeto é possível chegar a uma conclusão: o material vai ser excelente e a abordagem excepcional. Só espero não ser tão complicado quanto a
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) também do CERT.
O framework irá ser organizado em quatro áreas:
Enterprise Management
Engineering
Operations Management
Process Management
Irá possuir 24 processos mais monitoramento, com o objetivo de garantir a resiliência de pessoas, informações, tecnologia e facilities (Infra-Estrura básica) no contexto de serviços e objetivos da organização.
Cada área possui um conjunto de processos. Divididos da seguinte forma:
Enterprise Management ProcessRSKM - Risk Management
EF - Enterprise Focus
COMP - Compliance Management
FRM - Financial Resource Management
HRM - Human Resource Management
Operations Management ProcessSAM - Supplier Agreement Management
SRM - Supplier Relationship Management
AMC - Access Management and Control
IMC - Incident Management and Control
VM - Vulnerability Management
EC - Environmental Control
KIM - Knowledge and Information Management
SOM - Security Operations Management
ITOPS - IT Operations Management
Engineering ProcessRD - Requirements Definition
RM - Requirements Management
AM - Asset Management
COOP - Continuity of Operations Planning
REST - Restoration of Operations Planning
CSI - Control Selection and Implementation
RAD - Resilient Architecture Development
Process Management ProcessesOT - Organizational Training
OPF - Organizational Process Focus
OPD - Organizational Process Definition
MA - Measurement and Analysis
MON - Monitoring
Como podemos ver o framework irá tratar dos mais diversos assuntos relacionados a gestão de ativos, segurança e continuidade.
Assim como o CobiT ele não reinventa nada, ele se utiliza de estudos e boas práticas já amadurecidas e disseminadas para atender os assuntos relacionadas a garantia da resiliência das organizações.
O framework também irá utilizar o conceito de níveis de maturidade por processo e será divulgado ainda esse ano.
