Uma dúvida recorrente entre os profissionais iniciantes, é saber o que recomendar como melhores práticas de segurança.
Como especialista de segurança, as empresas vão solicitar à você o que deve ser feito para garantira a segurança.
Alguns profissionais de segurança se reuniram e criaram documentos que chamamos de padrões de segurança ou frameworks de segurança.
Organizações como a ISO e NIST, fornecem documentos pagos e gratuitos com controles de segurança que podem ser utilizados.
Estes documentos fornece controles de segurança, baseado em objetivos práticos que você pode adotar em sua empresa.
Mas antes, é necessário se planejar e definir a estratégia de segurança. Depois definir políticas, controles e processos.
Outro detalhe é que não existe “One size fitz all”. Você deve avaliar as recomendações e aplicar apenas o que faz sentido para sua organização.
Depois de aplicados os controles e políticas, há uma faze de checagem e monitoramento constante.
As práticas também mudam conforme o tempo, pois as tecnologias mudam e os ataques também.
Nos casos de assessments ou avaliações de segurança, as práticas também são utilizadas para referenciar suas sugestões.
Acompanhe neste vídeo do canal Artigo 12, Fabio Sobiecki fala sobre estes frameworks de segurança.