Para quem ainda não conhece o National Institute of Standards and Technology, mais conhecido no meio como: "NIST", é uma agência não reguladora que promove a inovação por meio do avanço da ciência, padrões e tecnologia de medição.
Entre suas muitas iniciativas, o NIST Cybersecurity Framework, também conhecido como: "NIST CSF", consiste em padrões, diretrizes e práticas recomendadas que ajudam as organizações a melhorar seu gerenciamento de riscos de segurança cibernética.
O NIST CSF nasceu em fevereiro de 2013, quando foi emitida a Ordem Executiva (EO) 13636: "Improving Critical Infrastructure Cybersecurity". Esta ordem orientou o NIST a trabalhar com o setor privado dos EUA para "identificar padrões de consenso voluntários existentes e melhores práticas da indústria para incorporá-los em uma Estrutura de Segurança Cibernética". A primeira versão do NIST Cybersecurity Framework foi lançada em 2014 e, desde então, é uma das estruturas de segurança mais amplamente adotadas em todos os setores dos EUA e também no Brasil.
O Framework de Segurança Cibernética do NIST é capaz de ajudar uma organização a começar ou a aprimorar seu programa de segurança cibernética. Criado com práticas reconhecidas e eficazes, ele pode ajudar as organizações a aprimorar sua postura em relação à segurança cibernética. Além de estimular a comunicação entre as várias partes interessadas envolvidas na segurança cibernética, tanto internas quanto externas, ele ajuda organizações maiores a integrar e alinhar o gerenciamento de riscos de segurança cibernética com processos empresariais mais amplos de gerenciamento de riscos, conforme descrito na série NISTIR 82865.
A estrutura do NIST CSF inclui funções, categorias, subcategorias e referências informativas. As funções fornecem uma visão geral dos protocolos de segurança de melhores práticas e são divididas em: Identificar, Proteger, Detectar, Responder e Recuperar. As categorias e subcategorias fornecem planos de ação mais concretos para departamentos ou processos específicos dentro de uma organização.
Uma das principais novidades que ele introduz está nestas cinco funções principais que oferecem uma visão abrangente do ciclo de vida do gerenciamento de riscos referentes à segurança cibernética que vou detalhar um pouco mais abaixo:
1) Identificação:
A primeira função, Identificação, envolve o desenvolvimento de uma compreensão organizacional para gerenciar os riscos de segurança cibernética em relação a sistemas, ativos, dados e recursos. Isso inclui a identificação de ativos de informação, a compreensão do ambiente de negócios, a realização de avaliações de risco e o estabelecimento de uma estratégia de gerenciamento de risco.
Exemplo Prático:
Uma empresa pode começar realizando um inventário de todos os seus ativos digitais, identificando quais são mais críticos para a operação do negócio. Em seguida, pode-se realizar uma avaliação de risco para identificar as ameaças mais prováveis e o impacto potencial sobre os ativos identificados.
Desafios:
Um desafio comum é a falta de visibilidade completa de todos os ativos de TI, especialmente em organizações grandes e complexas. Além disso, a avaliação de riscos pode ser difícil devido à constantemente mudança do cenário de ameaças cibernéticas.
Erros Comuns:
Muitas organizações falham em manter um inventário atualizado de ativos e não revisam regularmente as avaliações de risco à medida que novas ameaças surgem.
2) Proteção:
A função de Proteção envolve o desenvolvimento e implementação de salvaguardas necessárias para limitar ou conter o impacto de uma potencial ocorrência de segurança cibernética. Isso pode incluir a implementação de controles de acesso, treinamento de conscientização e educação, manutenção de segurança de dados e a proteção de tecnologia da informação.
Exemplo Prático:
Uma organização pode implementar uma política de senha forte, realizar treinamentos regulares de segurança cibernética para funcionários e instalar firewalls e software antivírus em todos os dispositivos.
Desafios:
A implementação de medidas de proteção pode ser cara e complexa, e requer um compromisso de toda a organização. Além disso, as ameaças cibernéticas estão sempre evoluindo, o que significa que as medidas de proteção devem ser constantemente atualizadas.
Erros Comuns:
As organizações frequentemente subestimam a importância do treinamento de segurança para os funcionários. Além disso, muitas empresas falham em atualizar regularmente o software de segurança ou em implementar medidas de segurança em todos os dispositivos, incluindo dispositivos móveis e IoT.
3) Detecção:
A função de Detecção refere-se ao desenvolvimento e implementação de atividades necessárias para identificar a ocorrência de um evento de segurança cibernética. Isso envolve a implementação de monitoramento contínuo de segurança, detecção de anomalias e eventos e a condução de avaliações de segurança.
Exemplo Prático:
Uma empresa pode implementar um sistema de detecção de intrusões que monitora o tráfego de rede em busca de atividades suspeitas. Além disso, a empresa pode realizar auditorias de segurança regulares para identificar possíveis vulnerabilidades.
Desafios:
A detecção de ameaças cibernéticas é um processo complexo que requer ferramentas avançadas e habilidades especializadas. Além disso, o volume de alertas de segurança pode ser esmagador, tornando difícil para as equipes de segurança identificar quais alertas requerem atenção imediata.
Erros Comuns:
Muitas organizações dependem exclusivamente de ferramentas automatizadas para detecção e não investem suficientemente em habilidades de análise de segurança cibernética. Além disso, algumas empresas não têm um processo adequado para priorizar e responder a alertas de segurança.
4) Resposta:
A função Resposta envolve o desenvolvimento e implementação de ações apropriadas em resposta a um evento de segurança cibernética detectado. Isso pode incluir planejamento de resposta, comunicações, análise, mitigação e melhorias após um incidente.
Exemplo Prático:
Quando um ataque cibernético é detectado, uma organização pode isolar os sistemas afetados para evitar a propagação do ataque. Em seguida, a organização pode trabalhar para identificar e corrigir a vulnerabilidade que permitiu o ataque. Além disso, a organização deve comunicar o incidente às partes interessadas, conforme necessário.
Desafios:
A resposta a incidentes cibernéticos é um processo complexo que requer habilidades especializadas. Além disso, a comunicação durante e após um incidente pode ser desafiadora, pois é importante equilibrar a transparência com a necessidade de proteger informações sensíveis.
Erros Comuns:
Muitas organizações não têm um plano de resposta a incidentes cibernéticos ou não o testam regularmente. Além disso, muitas empresas não comunicam adequadamente os incidentes de segurança cibernética, o que pode levar a danos à reputação e à confiança dos clientes.
5) Recuperação:
A função de Recuperação envolve o desenvolvimento e implementação de atividades necessárias para manter planos de resiliência e para se recuperar e voltar ao normal após um evento de segurança cibernética. Isso pode incluir planejamento de recuperação, melhorias e coordenação com partes externas, se necessário.
Exemplo Prático:
Após um ataque cibernético, uma organização pode precisar restaurar sistemas e dados a partir de backups. A organização também deve analisar o incidente para entender como ele ocorreu e como evitar incidentes semelhantes no futuro.
Desafios:
A recuperação de um incidente cibernético pode ser um processo longo e caro. Além disso, é crucial aprender com o incidente e melhorar os controles de segurança, o que requer uma análise detalhada e uma abordagem proativa.
Erros Comuns:
Muitas organizações não têm planos de recuperação de desastres adequados ou não os testam regularmente. Além disso, muitas empresas não aprendem adequadamente com incidentes de segurança cibernética, perdendo oportunidades de melhorar a segurança cibernética.
Cada uma dessas funções é crucial para a criação e manutenção de um programa robusto de segurança cibernética. Ao seguir estas etapas, a sua organização pode implementar uma estratégia de segurança cibernética eficaz, alinhada com os seus processos empresariais e a sua tolerância ao risco. Este framework representa um ponto de partida sólido para a sua organização e pode ser adaptado para atender
Queria agora comentar sobre as camadas de implementação do NIST Framework, que identifica quatro níveis de implementação, que são:
1) Parcial:
Nesse nível, a organização tem uma compreensão limitada dos riscos de segurança cibernética. As práticas de segurança cibernética podem não ser estabelecidas, e as atividades de gerenciamento de riscos são esporádicas e desorganizadas.
A organização pode não ter processos formais de segurança cibernética e pode depender de soluções ad hoc ou de segurança por obscuridade. Pode haver uma falta de controle de acesso adequado, gerenciamento de patches, monitoramento de rede e outras práticas fundamentais de segurança cibernética.
Um indicativo deste nível pode incluir a ausência de treinamento regular de segurança cibernética para funcionários, falta de uma equipe dedicada de segurança cibernética, ausência de planos de recuperação de desastres e continuidade de negócios, ou a falta de uma estratégia de gerenciamento de riscos.
2) Risco informado:
Neste nível, a organização possui consciência dos riscos de segurança cibernética e compartilha informações informalmente. No entanto, ainda carece de um processo de gerenciamento de riscos de segurança cibernética planejado e consistente.
Embora a organização possa ter implementado algumas práticas de segurança cibernética, como firewalls e antivírus, ainda pode haver lacunas significativas. O compartilhamento de informações sobre ameaças cibernéticas pode ocorrer, mas é informal e não é sistematizado.
Indicativos deste nível podem incluir a existência de políticas e processos de segurança cibernética, mas inconsistência na sua implementação, ou a falta de avaliações de risco regulares e sistemáticas.
3) Repetido:
Neste nível, a organização implementou um plano de gerenciamento de riscos de segurança cibernética em toda a organização. As práticas de segurança cibernética são formalizadas e consistentes em toda a organização.
A organização terá uma variedade de controles de segurança cibernética em vigor, incluindo controle de acesso, criptografia, defesa em profundidade e resposta a incidentes. Os processos de gerenciamento de riscos serão consistentes e repetíveis, e a organização será capaz de responder eficazmente a incidentes cibernéticos.
Indicativos deste nível podem incluir a existência de uma equipe dedicada de segurança cibernética, realização regular de avaliações de risco, treinamento regular de segurança cibernética para todos os funcionários e um plano de resposta a incidentes que é testado regularmente.
4) Adaptativo:
Neste nível, a organização é resiliente ciberneticamente e usa lições aprendidas e indicadores preditivos para se adaptar e melhorar continuamente. As práticas de segurança cibernética estão totalmente integradas à organização.
A organização possui um conjunto avançado de controles de segurança cibernética e práticas que são regularmente atualizados e ajustados com base em feedback e lições aprendidas. A organização pode usar análise preditiva para identificar ameaças emergentes e se adaptar às mudanças no ambiente de segurança cibernética.
Indicativos deste nível podem incluir o uso de análise preditiva para identificar potenciais ameaças, um processo robusto de gerenciamento de riscos que é integrado às operações de negócios, e uma cultura de segurança cibernética que é promovida em todos os níveis da organização.
Sendo que o objetivo final é que todas as organizações alcancem o Nível 4, onde as práticas de segurança cibernética são uma parte intrínseca da cultura organizacional e são continuamente adaptadas e aprimoradas. No entanto, o progresso geralmente é gradual, e cada organização terá que encontrar o nível adequado de maturidade em segurança cibernética com base em seus próprios riscos, recursos e objetivos.
Por fim queria comentar como criar um Programa de Gerenciamento de Riscos de Segurança Cibernética do NIST Framework, pois a metodologia também fornece um guia passo a passo sobre como estabelecer ou melhorar seu programa de gerenciamento de riscos de segurança de informações. Este processo envolve a priorização e definição do escopo, orientação, criação de um perfil atual, condução de uma avaliação de risco, criação de um perfil de destino, determinação, análise e priorização de lacunas, e implementação do plano de ação.
A implementação do NIST Cybersecurity Framework (CSF) pode ser dividida em várias etapas. Cada uma dessas etapas requer planejamento, recursos e esforço significativos para serem efetivamente realizadas.
1) Priorização e Definição do Escopo:
O primeiro passo é definir o escopo de seu programa de gerenciamento de riscos de segurança cibernética. Isso envolve identificar os sistemas, ativos, dados e capacidades que são críticos para a sua organização. Também é importante identificar os requisitos regulatórios e de negócios que a organização precisa atender.
2) Orientação:
A orientação envolve a identificação dos riscos de segurança cibernética que são relevantes para a organização. Isso pode ser feito por meio de uma avaliação de risco cibernético, que identifica as ameaças, vulnerabilidades e impactos que podem afetar a organização. A orientação também envolve a identificação de controles de segurança cibernética que podem ser usados para mitigar esses riscos.
3) Criação de um Perfil Atual:
O perfil atual é um retrato da segurança cibernética atual da organização. Ele identifica os controles de segurança cibernética que a organização já possui e como eles estão sendo implementados. O perfil atual também pode identificar áreas onde a organização está aquém dos requisitos de segurança cibernética.
4) Condução de uma Avaliação de Risco:
A avaliação de risco é um processo que identifica os riscos de segurança cibernética que a organização enfrenta. Ela considera tanto a probabilidade de uma ameaça ocorrer quanto o impacto que ela teria se ocorresse. A avaliação de risco ajuda a organização a priorizar seus esforços de segurança cibernética.
5) Criação de um Perfil de Destino:
O perfil de destino é uma visão da segurança cibernética desejada para a organização. Ele identifica os controles de segurança cibernética que a organização pretende implementar e como eles serão implementados. O perfil de destino é baseado na avaliação de risco e deve alinhar-se com os objetivos de negócios e risco da organização.
6) Determinação, Análise e Priorização de Lacunas:
Depois de criar os perfis atual e de destino, a organização precisa identificar as lacunas entre eles. Isso envolve a análise das diferenças entre o estado atual de segurança cibernética da organização e o estado desejado. As lacunas são então priorizadas com base em sua relevância para os objetivos de negócios e risco da organização.
7) Implementação do Plano de Ação:
Por fim, a organização precisa implementar um plano de ação para tratar as lacunas identificadas. Isso envolve a implementação dos controles de segurança cibernética necessários, o monitoramento de sua eficácia e a adaptação do plano conforme necessário.
Lembre-se, a implementação do NIST CSF é um processo contínuo. A segurança cibernética é um campo em constante mudança, e as organizações precisam estar dispostas a adaptar e melhorar suas práticas de segurança cibernética.
Por fim pode ter acesso ao documento completo (em inglês) no link:
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf