Um deles é o Nist, que traz metodologias e princípios reconhecidos de engenharia de software para tratar a questão da proteção
Em torno de 90% das organizações brasileiras enfrentaram pelo menos um incidente de segurança no último ano e 75% tiveram dificuldade em lidar com uma ou mais violações de dados mais sérias. Os dados são de uma pesquisa feita pela CompTIA com mais de mil empresas em 2017. Um dos motivos apontados pelas organizações é a falta de um planejamento embasado, com políticas, criação de procedimentos operacionais e definição de ações de conscientização interna. Para apoiar essa estratégia existem alguns guias de referência de proteção de dados, como Cobit e ISO 27001 e NIST.
Criado em 2013 durante o governo de Barack Obama, o NIST, iniciativa de especialistas em segurança da informação do National Institute of Standards and Technology, traz metodologias e princípios reconhecidos de engenharia de software para tratar a questão da segurança em sistemas de informação. Baseado em três pilares: pessoas, processos e tecnologias, tem como objetivo construir um modelo para a gestão de risco da segurança cibernética. Segundo Ron Ross, cientista da computação e pesquisador do NIST, a meta é estabelecer procedimentos que possibilitem construir segurança em sistemas de TI desde o início, em vez de combinar conceitos com o produto final.
As diretrizes são destinadas a aplicações em projetos dos setores público e privado, para pequenos e grandes sistemas e diversos setores.
Um de seus documentos, o CSF (Cyber Security Framework), descreve cinco funções para a segurança cibernética:
1. Identify: identificação de riscos e problemas de segurança da informação;
2. Protect: implementação de controles para proteção;
3. Detect: atividades de detecção de problemas;
4. Respond: se um problema for identificado na detecção, é hora de responder com uma contra-medida para tratá-lo;
5. Recover: se tudo falhar, o último passo é a recuperação.
Essas funções se desdobram em categorias e subcategorias de atividades até chegar, em um nível mais baixo, aos controles para reduzir os riscos cibernéticos.