23 de maio de 2007

CERT Resiliency Engineering Framework

CERT Resiliency Engineering Framework é um projeto novo do CERT. Desenvolvido em conjunto com instituições financeiras renomadas e especialistas em continuidade de negócios como: DRII, DRJ, SunGard e IBM, tem um objetivo bastante ambicioso: desenvolver ferramentas, técnicas e metodologias para garantir a resiliência das organizações unindo segurança e continuidade de negócios.


Bom, o que seria Resiliência?

"A resiliência é um termo oriundo da física. Trata-se da capacidade dos materiais de resistirem aos choques. Esse termo passou por um deslizamento em direção às ciências humanas e hoje representa a capacidade de um ser humano de sobreviver a um trauma, a resistência do individuo face às adversidades, não somente guiada por uma resistência física, mas pela visão positiva de reconstruir sua vida, a despeito de um entorno negativo, do estresse, das contrições sociais, que influenciam negativamente para seu retorno à vida. Assim, um dos fatores de resiliência é a capacidade do individuo de garantir sua integridade, mesmo nos momentos mais críticos."

Fonte: Professora Sandra Maia Farias Vasconcelos, Dr.

Resumindo, tornar uma organização resiliente é desenvolver estratégias, controles que garantam a sobrevivência em situações adversas. Ah! Então é o mesmo propósito de um Plano de Continuidade de negócios? Isso. Muito bem "friper"!



Deixando a brincadeira de lado, lendo os materiais disponíveis no site do projeto é possível chegar a uma conclusão: o material vai ser excelente e a abordagem excepcional. Só espero não ser tão complicado quanto a OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) também do CERT.

O framework irá ser organizado em quatro áreas:


Enterprise Management
Engineering
Operations Management
Process Management

Irá possuir 24 processos mais monitoramento, com o objetivo de garantir a resiliência de pessoas, informações, tecnologia e facilities (Infra-Estrura básica) no contexto de serviços e objetivos da organização.



Cada área possui um conjunto de processos. Divididos da seguinte forma:

Enterprise Management Process

RSKM - Risk Management
EF - Enterprise Focus
COMP - Compliance Management
FRM - Financial Resource Management
HRM - Human Resource Management

Operations Management Process

SAM - Supplier Agreement Management
SRM - Supplier Relationship Management
AMC - Access Management and Control
IMC - Incident Management and Control
VM - Vulnerability Management
EC - Environmental Control
KIM - Knowledge and Information Management
SOM - Security Operations Management
ITOPS - IT Operations Management

Engineering Process

RD - Requirements Definition
RM - Requirements Management
AM - Asset Management
COOP - Continuity of Operations Planning
REST - Restoration of Operations Planning
CSI - Control Selection and Implementation
RAD - Resilient Architecture Development

Process Management Processes
OT - Organizational Training
OPF - Organizational Process Focus
OPD - Organizational Process Definition
MA - Measurement and Analysis
MON - Monitoring

Como podemos ver o framework irá tratar dos mais diversos assuntos relacionados a gestão de ativos, segurança e continuidade.

Assim como o CobiT ele não reinventa nada, ele se utiliza de estudos e boas práticas já amadurecidas e disseminadas para atender os assuntos relacionadas a garantia da resiliência das organizações.



O framework também irá utilizar o conceito de níveis de maturidade por processo e será divulgado ainda esse ano.

Um comentário:

Thiago Francisco Dias disse...

Olá Wagner, tudo bem?

Estou analisando o material do CERT e, apesar de ter começado recentemente, devo dizer que o material impressiona. Penso que provavelmente poderia ser utilizado como material de apoio, com as devidas permissões, para a normativa ISO.

Acredito que com uma maior dependência de terceiros e de TI, acredito que "resiliência" veio bem a acalhar, uma vez que as vulnerabilidades crescem dia-a-dia.

See you later.