fbpx

O que é o NIST CyberSecurity Framework ?

nist0
Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp

O que é o NIST CyberSecurity Framework ?

O framework de segurança cibernética NIST, também chamado em inglês de NIST Cyber Security Framework, fornece uma estrutura, com base nos padrões, diretrizes e práticas existentes para organizações do setor privado nos Estados Unidos, a fim de gerenciar e reduzir melhor o risco de segurança cibernética.

Além de ajudar as organizações a prevenir, detectar e responder a ameaças cibernéticas e ataques cibernéticos, ele foi projetado para melhorar as comunicações de segurança cibernética e gerenciamento de riscos entre as partes interessadas internas e externas.

A estrutura é cada vez mais adotada como prática recomendada, com 30% das organizações dos EUA a usá-la a partir de 2015, com previsão de aumento para 50% até 2020. Nos Estados Unidos, 16 setores críticos de infraestrutura e 20 estados usam a estrutura.

Fora dos Estados Unidos, a estrutura foi traduzida para vários idiomas e é usada pelos governos do Japão e Israel, entre outros. Além disso, no Brasil, pela ultima pesquisa do Gartner, é o framework de segurança a ser seguido.

Um estudo de adoção da estrutura de segurança relatou que 70% das organizações pesquisadas veem a NIST Cybersecurity Framework como a melhor prática para segurança da informação, segurança de dados e segurança de rede, mas muitos observam que isso requer um investimento significativo.

Dito isto, com o custo médio de uma violação de dados chegando a US $ 3,92 milhões, investir em ferramentas para evitar violações e vazamentos de dados é uma escolha sábia.

Muitas organizações estão investindo em ferramentas para automatizar o gerenciamento de riscos de fornecedores, monitorando e classificando continuamente a segurança dos fornecedores, bem como o monitoramento contínuo de exposições de dados e credenciais vazadas.

Qual é o objetivo do NIST Cybersecurity Framework?

A Estrutura de Segurança Cibernética do NIST procura solucionar a falta de padrões no que diz respeito à segurança cibernética, fornecendo “uma taxonomia de alto nível dos resultados de segurança cibernética e uma metodologia para avaliar e gerenciar esses resultados”.

A cibersegurança é uma indústria jovem e existem grandes diferenças na maneira como as empresas usam tecnologia, processos, controle de acesso e outros controles de segurança para reduzir o risco de ataques cibernéticos, como ataques do tipo intermediário, phishing, falsificação de e-mail, seqüestro de domínio, spear phishing, worms de computador, violações de dados, typosquatting, ransomware e outros tipos de malware.

A estrutura visa ajudar as organizações a aprender com as melhores práticas.

Qual é o resumo do NIST Cybersecurity Framework?

O NIST Cybersecurity Framework consiste em três componentes principais:

O núcleo da estrutura: um conjunto de atividades e resultados de cibersegurança desejados, usando linguagem comum fácil de entender. Ele orienta as organizações no gerenciamento e na redução de riscos de segurança cibernética, complementando as metodologias existentes de segurança cibernética e gerenciamento de riscos.

O perfil da estrutura: o alinhamento exclusivo de uma organização de seus requisitos e objetivos organizacionais, apetite por risco e recursos com os resultados desejados do núcleo da estrutura. Os perfis são usados ​​principalmente para identificar e priorizar oportunidades para melhorar os padrões de segurança e mitigar os riscos em uma organização.

As camadas de implementação da estrutura: fornece um contexto sobre como uma organização vê o gerenciamento de riscos de segurança cibernética, orienta-os a considerar qual é o nível de rigor apropriado para eles e é frequentemente usado como uma ferramenta de comunicação para discutir o apetite ao risco, a prioridade da missão e o orçamento.

Quais são os benefícios do NIST Cybersecurity Framework?

O NIST Cybersecurity Framework fornece uma linguagem comum e metodologia sistemática para gerenciar riscos de segurança cibernética.

O Núcleo da Estrutura descreve atividades e fontes de informação que podem ser incorporadas a qualquer programa de segurança cibernética e foi projetado para complementar, em vez de substituir seu programa atual de segurança cibernética.

Ao criar um Perfil da Estrutura, as organizações podem identificar áreas nas quais os processos existentes precisam ser fortalecidos ou onde novos processos podem ser implementados.

Esses perfis e o idioma comum fornecido no Framework Core podem melhorar a comunicação através da organização e melhorar sua estratégia de gerenciamento de riscos.

O emparelhamento de um perfil da estrutura com um plano de implementação permite que sua organização decida quais medidas de proteção econômicas serão tomadas com base em sistemas de informação, ambiente de negócios e probabilidade de evento de segurança cibernética.

Além disso, os Perfis e os processos de gerenciamento de riscos que eles criam podem ser aproveitados como artefatos fortes para demonstrar o devido cuidado.

Por fim, as Camadas de implementação da estrutura fornecem à sua organização um contexto sobre o quão robusta é sua estratégia de segurança cibernética e se você aplicou o nível apropriado de rigor para o tamanho e a complexidade da sua organização. As camadas podem ser usadas como ferramentas de comunicação para discutir também a prioridade da missão, o apetite ao risco e o orçamento.

O que há no NIST Cybersecurity Framework Core?

O NIST Cybersecurity Framework Core foi desenvolvido para ajudar as organizações a definir quais atividades eles precisam realizar para atingir diferentes padrões de segurança cibernética.

Permite a comunicação entre equipes multidisciplinares usando linguagem simples e não técnica.

O Framework Core consiste em três partes:

Funções: As cinco funções de alto nível são Identificar, Detectar, Proteger, Responder e Recuperar. Essas cinco funções não se aplicam apenas ao gerenciamento de riscos cibernéticos, mas também ao gerenciamento de riscos em geral.
Categorias: existem 23 categorias divididas nas cinco funções. As categorias abrangem a amplitude dos objetivos de segurança cibernética (resultados cibernéticos, físicos, pessoais e comerciais), embora não sejam excessivamente detalhados.
Subcategorias: existem 108 subcategorias divididas nas 23 categorias. Estas são declarações orientadas a resultados que fornecem considerações para criar ou melhorar um programa de segurança cibernética. Como a Estrutura é orientada a resultados, ela não determina como uma organização obtém resultados, pois deve fazer implementações baseadas em riscos com base em suas necessidades.

Quais são as cinco funções da estrutura de segurança cibernética do NIST?

As cinco funções incluídas no Framework Core são:

  • Identificar
  • Proteger
  • Detectar
  • Responder
  • Recuperar

Lembre-se, existem 23 categorias e 108 subcategorias.

Para cada subcategoria, é fornecido um recurso informativo que faz referência a seções específicas de outros padrões de segurança da informação, incluindo ISO 27001, COBIT, NIST SP 800-53, ANSI / ISA-62443 e o CCS CSC (CCS CSC).

Embora o NIST CSF seja um ótimo guia, a maioria dessas referências informativas exige uma associação paga ou uma compra para acessar, o que levou à criação de novos guias do NIST Framework mais acessíveis às pequenas empresas.

Identificar

A função Identify ajuda a desenvolver o entendimento organizacional do risco de segurança cibernética para sistemas, pessoas, ativos, dados e recursos.

Existem seis categorias na função Identify:

  • Gerenciamento de ativos (ID.AM): Os dados, pessoal, dispositivos, sistemas e instalações que permitem à organização operar são identificados e gerenciados de forma consistente com sua importância relativa para a organização e sua estratégia de risco.
  • Ambiente de negócios (ID.BE): A missão, os objetivos, as partes interessadas e as atividades da organização são entendidas, priorizadas e usadas para informar as funções, responsabilidades e decisões de gerenciamento de riscos de segurança cibernética.
  • Governança (ID.GV): as políticas, procedimentos e processos para gerenciar e monitorar os requisitos regulatórios, legais, de risco, ambientais e operacionais da organização.
  • Avaliação de risco (ID.RA): A organização entende o risco de segurança cibernética para cada função (incluindo missão, imagem e reputação), ativos organizacionais e indivíduos.
  • Estratégia de Gerenciamento de Riscos (ID.RM): As prioridades, restrições, tolerância a riscos e premissas da organização são estabelecidas e usadas para apoiar as decisões de risco.
  • Gerenciamento de risco da cadeia de suprimentos (ID.SC): As prioridades, restrições, tolerância e premissas da organização são estabelecidas e usadas para apoiar decisões de risco relacionadas ao risco de terceiros e de terceiros. A organização implementou um processo para identificar, avaliar e gerenciar os riscos da cadeia de suprimentos, por exemplo, uma estrutura de gerenciamento de riscos de terceiros, modelo de questionário de segurança do fornecedor e uma ferramenta de classificação de segurança.

Proteger

A Função de Proteção descreve salvaguardas apropriadas para garantir a entrega de serviços e limites críticos de infraestrutura ou contém o impacto de eventos potenciais de segurança cibernética, geralmente empregando uma estratégia de defesa em profundidade.

Existem seis categorias na função de proteção:

  • Controle de acesso (PR.AC): o acesso a ativos e instalações é limitado a usuários, processos ou dispositivos autorizados, além de atividades e transações autorizadas.
  • Conscientização e treinamento (PR.AT): O pessoal e os parceiros recebem treinamento em conscientização de segurança cibernética e podem executar suas tarefas e responsabilidades relacionadas à segurança da informação, consistentes com políticas, procedimentos e acordos.
  • Segurança de dados (PR.DS): Os dados confidenciais são gerenciados de forma consistente, de acordo com a estratégia de risco da organização, para proteger sua confidencialidade, integridade e disponibilidade (CIA Triad).
  • Processos e procedimentos de proteção de informações (PR.IP): políticas de segurança da informação (que abordam o objetivo, escopo, funções, responsabilidades, compromisso de gerenciamento e coordenação entre entidades), processos e procedimentos são mantidos e usados ​​para proteger sistemas e ativos de informação.
  • Manutenção (PR.MA): a manutenção e os reparos dos controles e sistemas de informação são consistentes com as políticas e procedimentos.
  • Tecnologia de proteção (PR.PT): As soluções técnicas de segurança são gerenciadas para garantir a segurança e a resiliência dos sistemas e ativos consistentes com as políticas, procedimentos e acordos.

Detectar

A Função Detectar define atividades apropriadas para identificar a ocorrência de um evento de segurança cibernética em tempo hábil.

Existem três categorias na função Detectar:

  • Anomalias e eventos (DE.AE): A atividade anômala é detectada em tempo hábil e o impacto potencial é compreendido.
  • Monitoramento contínuo de segurança (DE.CM): Os sistemas e ativos de informação são monitorados continuamente para identificar eventos de segurança e verificar a eficácia das medidas de proteção, por exemplo software de classificação de segurança do fornecedor e detecção de vazamento de dados.
  • Processos de detecção (DE.DP): os processos e procedimentos de detecção são mantidos e testados.

Responder

A Função de resposta descreve as atividades apropriadas a serem realizadas após um incidente de segurança para melhorar a resposta e reduzir o impacto de um evento.

Existem cinco categorias na função Responder:

  • Planejamento de respostas (RS.RP): processos e procedimentos de resposta e praticados, executados e mantidos.
  • Comunicações (RS.CO): As atividades de resposta são coordenadas com as partes interessadas internas e externas.
  • Análise (RS.AN): A análise é conduzida para garantir uma resposta adequada e apoiar as atividades de recuperação.
  • Mitigação (RS.MI): são realizadas atividades para impedir a propagação de um ataque cibernético, mitigando seus efeitos e erradicando vetores de ataque.
  • Melhorias (RS.IM): As atividades de resposta são aprimoradas incorporando práticas recomendadas, lições aprendidas e outras informações.

Recuperar

A Função Recuperar identifica atividades apropriadas para planejar a resiliência e restaurar recursos ou serviços que foram prejudicados durante um ataque cibernético, dando suporte à recuperação oportuna e melhorando o planejamento da resposta a incidentes.

Existem três categorias na função Recuperar:

  • Planejamento de recuperação (RC.RP): processos e procedimentos de recuperação são executados e mantidos para garantir a restauração de sistemas ou ativos.
  • Melhorias (RC.IM): O planejamento e os processos de recuperação são aprimorados incorporando práticas recomendadas, lições aprendidas e outras informações.
  • Comunicações (RC.CO): As atividades de restauração são coordenadas com a equipe interna e fornecedores de terceiros.

O que são perfis do NIST Cybersecurity Framework?

Perfis são o alinhamento exclusivo de uma organização com seus requisitos e objetivos de negócios, apetite por riscos e recursos com os resultados desejados no Núcleo da Estrutura.

Os perfis são sobre a otimização do Cybersecurity Framework para melhor atender sua organização. Não existe uma maneira certa ou errada de usá-lo, pois é uma estrutura voluntária e amplamente baseada no gerenciamento da organização de riscos à segurança cibernética, tolerância a riscos e entendimento organizacional de salvaguardas apropriadas.

Uma abordagem popular é mapear requisitos de segurança cibernética, objetivos de missão e metodologias operacionais, juntamente com as práticas atuais em relação às subcategorias no Framework Core para criar um perfil atual. Esses requisitos e objetivos podem ser comparados com o estado atual para entender melhor onde estão as lacunas.

Após a conclusão desse processo de avaliação de riscos à segurança cibernética, as organizações criam um plano de implementação priorizado com base na prioridade, tamanho da lacuna e estimam os custos das atividades apropriadas ou das tecnologias de proteção.

Outra maneira de fazer isso é adotar um perfil de destino da linha de base que seja personalizado para o seu setor (por exemplo, serviços financeiros ou assistência médica). Essa pode ser uma ótima idéia para organizações que possuem requisitos regulamentares para proteger dados confidenciais, como informações de identificação pessoal (PII), informações de saúde protegidas (PHI) ou dados biométricos.

Quais são as camadas de implementação da estrutura de segurança cibernética do NIST?

Existem quatro camadas de implementação descritas na estrutura de segurança cibernética do NIST, quanto maior a camada, mais próximo o programa de gerenciamento de riscos de segurança cibernética da organização está das características definidas na estrutura.

As quatro camadas são:

  • Nível 1 (parcial)
  • Nível 2 (Risco informado)
  • Nível 3 (repetível)
  • Nível 4 (adaptável)

Observe que as camadas não representam necessariamente níveis de maturidade. As organizações precisam determinar sua camada desejada, que atenderá às metas organizacionais, reduzirá o risco de segurança cibernética a um nível aceitável e poderá ser implementada nos níveis financeiro e operacional.

Qual é o histórico do NIST Cybersecurity Framework?

Em fevereiro de 2013, o presidente Barack Obama emitiu a Ordem Executiva (EO) 13636, Melhorando a segurança cibernética da infraestrutura crítica, para melhorar a segurança nacional e econômica dos Estados Unidos, melhorando a confiabilidade de sua infraestrutura crítica.

O EO 13636 instruiu o NIST a trabalhar com as partes interessadas para desenvolver uma estrutura voluntária, a Estrutura do NIST para melhorar a segurança cibernética da infraestrutura crítica, com base nos padrões, diretrizes e práticas existentes para reduzir o risco de segurança cibernética à infraestrutura crítica. Isso foi reforçado pela Lei de aprimoramento de segurança cibernética de 2014.

A versão 1.0 foi publicada pelo Instituto Nacional de Padrões e Tecnologia, criado originalmente para promover a proteção da infraestrutura crítica, criando uma abordagem priorizada, flexível, repetível e econômica para ajudar proprietários e operadores a gerenciar riscos de segurança cibernética.

A estrutura foi amplamente adotada pelas organizações e ajudou a mudar as organizações para serem proativas sobre o gerenciamento de riscos.

Em 2017, uma versão preliminar do 1.1 foi divulgada para comentários do público. A versão 1.1 foi disponibilizada ao público em 16 de abril de 2018 e é compatível com a versão 1.0.

As principais mudanças foram a inclusão de orientações sobre como realizar autoavaliações, detalhes adicionais sobre o gerenciamento de riscos do fornecedor, orientações sobre como interagir com as partes interessadas da cadeia de suprimentos e fornecedores terceirizados e incentivam um processo de divulgação de vulnerabilidades, por exemplo. listando-os no CVE.

Comentários do Facebook

Conteúdos relacionados