De um modo geral, podemos dizer que os Framework são modelos ou esqueletos utilizados para construção de um Programa de Segurança da Informação (PSI) dentro de uma organização.

Os Framework fornecem uma série de procedimentos, análises e boas práticas a serem adotadas durante a implementação do PSI. Nada mais é do que um passo a passo a ser seguido.

Por que devemos usar?

Cada organização possuí um tamanho e uma estrutura diferente, além de modelos de negócios distintos, sendo assim, como saber quais ferramentas e medidas baseadas em Segurança da Informação a organização deve adotar?

Um controle pode servir para uma determinada organização, mas pode não trazer segurança para outra; a utilização de um processo para uma certa organização é vital, porém em outra, pode não fazer sentido algum.

Para resolver essa questão e ajudar na implementação de controles e ferramentas, utilizamos os Framework de Segurança da Informação.

Existem diversos Frameworks que podemos utilizar, porém os mais conhecidos, são: (a) as orientações contidas nas normas internacionais da ISO família 27000; (b) as boas práticas fornecidas pelo NIST Cybersecurity Framework; (c) as ferramentas disponibilizadas pelo Information Security Forum (ISF); (d) e os diversos controles apresentados pelo CIS Control.

Importante dizer que a adoção de um Framework de S.I. irá trazer uma série de benefícios para a organização, além de trazer segurança para o ambiente organizacional. Os profissionais responsáveis pela segurança da informação na empresa precisam realizar um estudo aprofundado do atual cenário da empresa, identificando seus riscos e vulnerabilidades, para, a partir disso, seguir com as medidas técnicas protetivas, mitigando os riscos apresentados.