Implementação do NIST Cybersecurity Framework

Tempo de leitura: 12 minutos

O National Institute of Standards and Technology (NIST) , anteriormente conhecido como The National Bureau of Standards, é uma agência governamental não regulatória da administração de tecnologia do Departamento de Comércio dos Estados Unidos. A missão do instituto é promover a inovação e a competitividade industrial, promovendo a metrologia, os padrões e a tecnologia de forma que ampliem a segurança econômica e melhorem a qualidade de vida.

O NIST é responsável pela publicação do NIST Cybersecurity Framework, conjunto de boas práticas que fornece uma estrutura de política de orientação sobre segurança de computadores, sobre como as organizações do setor privado podem avaliar e melhorar sua capacidade de prevenir, detectar e responder a ataques cibernéticos. É utilizado por inúmeras empresas e por governos de diversos países ao redor do mundo, fornecendo uma taxonomia de alto nível de resultados de segurança cibernética e uma metodologia para avaliar e gerenciar esses resultados.

A primeira versão foi publicada em 2014, originalmente voltada para operadoras de infraestrutura crítica mas, atualmente, está sendo usado por uma ampla gama de negócios e organizações dos mais diversos setores, ajudando-os a serem proativos no gerenciamento de riscos. A versão 1.1 foi anunciada e disponibilizada ao público em 16 de abril de 2018. As mudanças incluem orientações sobre como realizar autoavaliações, detalhes adicionais sobre o gerenciamento de riscos da cadeia de suprimentos, orientações sobre como interagir com as partes interessadas da cadeia de suprimentos e incentiva um processo de divulgação de vulnerabilidade.

Quer começar a adequar sua empresa aos controles de segurança cibernética propostos pela NIST? Basta baixar o nosso checklist de conformidade com o NIST Cybersecurity Framework para começar hoje mesmo o processo de conformidade da sua empresa. Para saber mais, continue a leitura do artigo e descubra como atender aos controles de segurança críticos de forma ágil e eficiente.

Sobre o NIST Cybersecurity Framework 

O NIST Cybersecurity Framework é projetado para empresas e outras organizações, com o objetivo de avaliar os riscos cibernéticos que enfrentam. O framework é dividido em três partes, “Core”, “Profile” e “Tiers”. O “Framework Core” (núcleo da estrutura) contém uma série de atividades, resultados e referências sobre aspectos e abordagens da segurança cibernética. Os “Framework Implementation Tiers” (níveis de implementação da estrutura) são usados ​​por uma organização para esclarecer para si mesma e para seus parceiros como ela vê o risco de segurança cibernética e o grau de sofisticação de sua abordagem de gerenciamento. Um “Framework Profile” (perfil de estrutura) é uma lista de resultados que uma organização escolheu entre as categorias e subcategorias, com base em suas necessidades e avaliações de risco.

Uma organização normalmente começa usando a estrutura do framework para desenvolver um perfil atual, que descreve suas atividades de segurança cibernética e quais resultados está alcançando. Ela pode, então, desenvolver um “Perfil de Destino” ou adotar um perfil de linha de base adaptado ao seu setor (por exemplo, indústria de infraestrutura) ou tipo de organização. Poderá, assim, definir as etapas de mudança de seu perfil atual para seu perfil de destino.

A quem se aplicam os controles de segurança críticos?

Toda empresa com necessidade operacional, ou nível de maturidade suficiente em seu Programa de Segurança da Informação, pode se beneficiar de tais práticas. Considerando que muitos padrões e regulamentos de conformidade destinados a melhorar a segurança geral podem ter um foco estreito por serem específicos do setor, o NIST Cybersecurity Framework – atualmente em sua segunda iteração na versão 1.1 – foi criado por especialistas para ser universalmente aplicável aos mais diversos tipos de organizações dos mais diversos setores.

A seleção e especificação de controles de segurança para um sistema é realizada como parte de um programa de segurança da informação em toda a organização que envolve o gerenciamento de risco organizacional – isto é, o risco para a organização ou para indivíduos associados à operação de um sistema. O gerenciamento de risco organizacional é um elemento-chave no programa de segurança da informação e fornece uma estrutura eficaz para selecionar os controles de segurança apropriados para um sistema – os controles de segurança necessários para proteger os indivíduos e as operações e ativos. 

Os programas de segurança com base em risco estão entre as opções mais viáveis a partir nas quais se apoia um programa de segurança da informação. A outra opção que gestores(as) tentam adotar é um programa de segurança com foco em controle. Os programas de segurança baseados em controle são aqueles em que a organização identifica os controles (geralmente com base em um padrão) e opta por adotar o controle porque o padrão diz isso. Os programas de segurança baseados em controle estão, muitas vezes, fadados ao fracasso porque, em geral, são caros e ineficazes.

Funções e categorias de implementação do NIST Cybersecurity Framework

O NIST Cybersecurity Framework organiza seu material em cinco funções que são subdivididas em um total de 23 categorias. Para cada categoria, ele define uma série de subcategorias de resultados de segurança cibernética e controles de segurança, com 108 subcategorias ao todo.

Para cada subcategoria, ele também fornece recursos informativos, referenciando seções específicas de uma variedade de outros padrões de segurança da informação, incluindo ISO 27001, COBIT, NIST SP 800-53, ANSI / ISA-62443 e o Conselho de Controles Críticos de Segurança Cibernética (CCS CSC, agora geridos pelo Center for Internet Security e, atualmente, conhecidos como CIS Controls). Publicações Especiais à parte, a maioria das referências informativas requer uma adesão paga ou compra para acessar seus respectivos guias. O custo e a complexidade da estrutura resultaram em projetos de lei que orientam o NIST a criar guias de estrutura de segurança cibernética mais acessíveis para pequenas e médias empresas.

As funções e categorias, junto com seus identificadores e definições únicos, conforme declarado na coluna de categoria de sua visualização de planilha do núcleo do padrão, são as seguintes:

Identificar

“Desenvolver a compreensão organizacional para gerenciar os riscos de segurança cibernética para sistemas, ativos, dados e recursos.”

  • Gerenciamento de ativos (ID.AM): Os dados, pessoal, dispositivos, sistemas e instalações que permitem à organização atingir os objetivos de negócios são identificados e gerenciados de acordo com sua importância relativa para os objetivos de negócios e a estratégia de risco da organização.
  • Ambiente de negócios (ID.BE): A missão, os objetivos, as partes interessadas e as atividades da organização são compreendidos e priorizados; essas informações são usadas para informar as funções, responsabilidades e decisões de gerenciamento de risco da segurança cibernética.
  • Governança (ID.GV): as políticas, procedimentos e processos para gerenciar e monitorar os requisitos regulatórios, legais, de risco, ambientais e operacionais da organização são compreendidos e informam a gestão do risco de segurança cibernética.
  • Avaliação de risco (ID.RA): A organização entende o risco de segurança cibernética para as operações organizacionais (incluindo missão, funções, imagem ou reputação), ativos organizacionais e indivíduos.
  • Estratégia de gerenciamento de risco (ID.RM): As prioridades, restrições, tolerâncias de risco e premissas da organização são estabelecidas e usadas para apoiar as decisões de risco operacional.
  • Gerenciamento de riscos da cadeia de suprimentos (ID.SC): As prioridades, restrições, tolerâncias a riscos e suposições da organização são estabelecidas e usadas para apoiar as decisões de risco associadas ao gerenciamento de riscos da cadeia de suprimentos. A organização possui processos para identificar, avaliar e gerenciar os riscos da cadeia de suprimentos.
Proteger

“Desenvolver e implementar as salvaguardas apropriadas para garantir a entrega de serviços de infraestrutura crítica.”

  • Controle de acesso (PR.AC): O acesso a ativos e instalações associadas é limitado a usuários, processos ou dispositivos autorizados e a atividades e transações autorizadas.
  • Conscientização e treinamento (PR.AT): O pessoal e os parceiros da organização recebem educação em conscientização sobre segurança cibernética e são adequadamente treinados para desempenhar suas funções e responsabilidades relacionadas à segurança da informação, de acordo com as políticas, procedimentos e acordos relacionados.
  • Segurança de dados (PR.DS): As informações e os registros (dados) são gerenciados de maneira consistente com a estratégia de risco da organização para proteger a confidencialidade, integridade e disponibilidade das informações.
  • Processos e procedimentos de proteção de informações (PR.IP): Políticas de segurança (que tratam de propósito, escopo, funções, responsabilidades, compromisso de gerenciamento e coordenação entre entidades organizacionais), processos e procedimentos são mantidos e usados ​​para gerenciar a proteção de sistemas e ativos de informação .
  • Manutenção (PR.MA): A manutenção e os reparos dos componentes do sistema de informação e controle industrial são realizados de acordo com as políticas e procedimentos.
  • Tecnologia de proteção (PR.PT): As soluções técnicas de segurança são gerenciadas para garantir a segurança e a resiliência dos sistemas e ativos, de acordo com as políticas, procedimentos e acordos relacionados.
Detectar

“Desenvolver e implementar as atividades apropriadas para identificar a ocorrência de um evento de segurança cibernética.”

  • Anomalias e eventos (DE.AE): A atividade anômala é detectada em tempo hábil e o impacto potencial dos eventos é compreendido.
  • Monitoramento contínuo de segurança (DE.CM): O sistema de informações e os ativos são monitorados em intervalos discretos para identificar eventos de segurança cibernética e verificar a eficácia das medidas de proteção.
  • Processos de detecção (DE.DP): Os processos e procedimentos de detecção são mantidos e testados para garantir a percepção adequada e oportuna de eventos anômalos.

Responder

“Desenvolver e implementar as atividades apropriadas para agir em relação a um evento de segurança cibernética detectado.”

  • Planejamento de resposta (RS.RP): Os processos e procedimentos de resposta são executados e mantidos para garantir uma resposta oportuna aos eventos de segurança cibernética detectados.
  • Comunicações (RS.CO): As atividades de resposta são coordenadas com as partes interessadas internas e externas, conforme apropriado, para incluir o apoio externo das agências de aplicação da lei.
  • Análise (RS.AN): A análise é conduzida para garantir uma resposta adequada e apoiar as atividades de recuperação.
  • Mitigação (RS.MI): As atividades são realizadas para prevenir a expansão de um evento, mitigar seus efeitos e erradicar o incidente.
  • Melhorias (RS.IM): As atividades de resposta organizacional são aprimoradas ao incorporar as lições aprendidas com as atividades de detecção / resposta atuais e anteriores.

Recuperar

“Desenvolver e implementar as atividades apropriadas para manter planos de resiliência e restaurar quaisquer recursos ou serviços que foram prejudicados devido a um evento de segurança cibernética.”

  • Planejamento de recuperação (RC.RP): Os processos e procedimentos de recuperação são executados e mantidos para garantir a restauração oportuna de sistemas ou ativos afetados por eventos de segurança cibernética.
  • Melhorias (RC.IM): O planejamento e os processos de recuperação são aprimorados ao incorporar as lições aprendidas em atividades futuras.
  • Comunicações (RC.CO): As atividades de restauração são coordenadas com partes internas e externas, como centros de coordenação, provedores de serviços de Internet, proprietários de sistemas de ataque, vítimas, outros CSIRTs e fornecedores.

Como o NIST Cybersecurity Framework funciona junto outros padrões e frameworks dentro de uma política de segurança cibernética?

O NIST Cybersecurity Framework é baseado em padrões, diretrizes e práticas existentes. Os padrões, diretrizes e práticas mais frequentemente referidos são as “Referências informativas” encontradas no Framework Core. Esses padrões são:

  • CCS CSC – o “Council on CyberSecurity Top 20 Critical Security Controls”; agora conhecido como “CIS Critical Security Controls ou, simplesmente, CIS Controls”.
  • COBIT – Objetivos de Controle para Tecnologia da Informação e Relacionadas (COBIT) é uma estrutura criada pela Associação de Auditoria e Controle de Sistemas de Informação (“ISACA”) para gestão e governança de tecnologia da informação.
  • ISA / IEC-62443 – uma série de padrões desenvolvidos pela Sociedade Internacional de Automação para automação industrial e segurança de sistemas de controle.
  • ISO / IEC 27001: 2013 – um padrão popular de segurança da informação mantido pela International Organization for Standardization e a International Electrotechnical Commission.
  • NIST SP 800-53 Rev.4 – também um padrão popular fornecido pelo NIST intitulado “Security and Privacy Controls for Federal Information Systems and Organizations.

Em sua criação, foi importante para NIST Cybersecurity Framework fazer referência aos padrões existentes para dar credibilidade ao próprio framework, para orientação prescritiva e para medição.

A adoção do framework é um esforço colaborativo e fornece a uma organização a base para um conjunto comum de termos, técnicas e medidas. Um esforço colaborativo significa que você precisará buscar e obter contribuições de várias partes interessadas em toda a organização. Você não será capaz de adotar um framework de forma eficaz trabalhando nele sozinho(a) ou em um único grupo, muito menos a sobreposição de vários frameworks.

O Framework é público, projetado para partes interessadas organizacionais internas e externas, e está disponível para qualquer pessoa estudar. À medida em que sua adoção se torna mais difundida, mais pessoas deveriam estar falando a mesma “linguagem” de segurança. A adoção do framework ajuda uma organização a explicar o status de seu programa de segurança para outras pessoas; tanto interna quanto externamente (com reguladores, clientes, parceiros, acionistas etc.).

Quer começar hoje mesmo o processo de conformidade da sua empresa? Baixe o nosso checklist de conformidade com o NIST Cybersecurity Framework e comece agora mesmo!

Implementando o NIST Cybersecurity Framework com as soluções GAT

Um estudo de adoção de estrutura de segurança relatou que 70% das organizações pesquisadas vêem a estrutura do NIST Cybersecurity Framework como uma prática recomendada muito popular para segurança de ativos digitais, mas muitos observam que ela requer um investimento significativo. O conjunto de soluções de gerenciamento de TI da GAT pode ajudar sua empresa a atender aos requisitos do NIST Cybersecurity Framework de forma eficiente e sem custos exorbitantes e, por sua vez, ajudar a planejar e desenvolver cuidadosamente um programa de segurança da informação de primeira linha para obter uma melhor higiene cibernética.

O GAT Core possui uma das mais completas bases de conhecimento relacionadas à segurança da informação dentro de sua plataforma. É fácil criar novos controles utilizando nossa base de conhecimento e adequar para as suas necessidades específicas. O checklist de controles NIST Cybersecurity Framework está disponível em nossa base de conhecimento, assim como outros checklists como CIS Controls, PCI-DSS, ISO 27001, ISO 27701, resolução 4.658 / 3.909 do BACEN, LGPD e avaliação de fornecedores.

Ao gerenciar os controles da política de segurança cibernética a serem implementados, temos diversas questões relacionadas à gestão de segurança da informação que precisam ser verificadas com o devido questionamento às áreas responsáveis. Veja como adereçar e acompanhar esses itens para os responsáveis através de um projeto dentro da plataforma.

Gerenciamento de Projetos

A segregação do projeto de conformidade com o NIST Cybersecurity Framework em pacotes menores para o melhor gerenciamento das atividades é recomendada como uma boa prática de gerenciamento do projeto. Isso permite desenvolver o projeto de acordo com a necessidade de priorização e criticidade dos controles para a empresa. A implementação de controles críticos pode ser atribuída a um determinado setor e é possível descrever o escopo da entrega, indicar responsáveis e definir prazos.

Como o projeto de conformidade foi dividido em etapas menores e cada etapa possui um responsável junto com a data de entrega, é possível visualizar de forma integrada o andamento do projeto e envolver colaborativamente todos os participantes do projeto. Essa visão é ideal para reuniões de acompanhamento do projeto e para identificar prontamente os impedimentos.

O uso de checklists é recomendado quando for necessário a implementação dos controles internos desenvolvidos para a conformidade com frameworks e controles. Os checklists dentro do GAT Core são recursos poderosos da plataforma e são usados para acompanhar a evolução dos controles definidos de forma automatizada e integrada. 

Para iniciar a avaliação de uma aplicação com base no NIST Cybersecurity Framework é necessário criar um projeto e associar esse checklist ao ativo do tipo aplicação que irá ser avaliado. Nossa documentação descreve esse processo em mais detalhes.

Uma vez criado, o analista de segurança ou security champion utiliza sua conta para acessar o projeto dentro do GAT Core e responder ao checklist.

Avaliação de fornecedores externos

Para a avaliação de fornecedores externos, podemos usar o recurso de avaliação disponibilizado pela plataforma. Esse recurso avalia o nível de conformidade dos fornecedores de serviço em relação ao framework e outros controles regulatórios.

É possível acompanhar o preenchimento da avaliação dos controles em tempo real, fazer comentários e anexar documentos de evidências que servem para comprovar a conformidade, criando um histórico de atividades para os controles da política de segurança cibernética.

Quando o fornecedor apresentar algum requisito em não conformidade, podemos criar uma automação para que de forma automática tenhamos conhecimento dessa informação. Assim, podemos solicitar uma tratativa para o fornecedor imediatamente, evitando uma janela maior de exposição à esse risco. Uma das vantagens em utilizar a plataforma para a avaliação de fornecedores é que as pessoas externas receberão um formulário web onde é possível descrever os controles existentes, anexar arquivos e esclarecer dúvidas em tempo real, sem precisarmos conceder acesso ao GAT. Isso já estará integrado e trazendo dados ao nosso processo de gestão de segurança na plataforma de forma ágil e eficiente. 

Enquanto isso, a área interna responsável pelo envio do controle pode acompanhar a evolução do preenchimento em tempo real e receber alertas quando sua atenção é solicitada. Essa dinâmica cria um processo colaborativo e ágil para a resolução de pequenas burocracias referentes aos controles da política de segurança cibernética.

Esse artigo explica em mais detalhes como funciona o processo de avaliação dentro da plataforma caso você queira saber mais detalhes.

Apontamentos

Os apontamentos são na plataforma GAT Core o modo que disponibilizamos as informações referentes aos diversos itens de Segurança da Informação a serem gerenciados, tais como vulnerabilidades tecnológicas, vazamento de e-mails, controles referente a implementação de conformidades, entre outras possibilidades. 

No caso dos controles do CIS CSC, cada item dos controles corresponde a um apontamento. O estado do apontamento não conforme será sempre “pendente”, enquanto o controle que estiver em conformidade terá o status de “corrigido”. Você pode alterar isso manualmente nos seus controles internos ou enviando um novo questionário para um fornecedor. 

Podemos criar uma observação ou tag, definir um plano de ação para um controle, adicionar evidências sobre a conclusão de alguma implementação, fazer comentários e visualizar um histórico de todas as ações realizadas sobre o controle, conforme demonstrado neste artigo.

Dashboards e métricas

A plataforma GAT Core é excelente para visualização de métricas específicas referente a implementação de controles de conformidade. Os dashboards são usados para verificar quais controles devem ser priorizados e qual a situação de cada controle de forma rápida e atualizada. É possível customizar novos gráficos, definir métricas e determinar a severidade dos controles relacionados à conformidade de acordo com o ativo, por exemplo. Estas métricas auxiliam áreas do negócio nas ações que devem ser tomadas diante destas implementações de controle. 

Conclusão

Nesse artigo exploramos como a plataforma GAT Core contribui com a sua conformidade em relação às leis e regulamentações vigentes, particularmente com o NIST Cybersecurity Framework para a criação de controles da política de segurança cibernética. Muitas empresas ainda fazem uso de sistemas ineficientes ou planilhas desconexas para o gerenciamento dos seus controles de segurança e conformidade. Esses recursos não apresentam de forma clara a evolução dos projetos e não possuem histórico de alterações importantes para apresentação a auditorias.

O GAT Core foi construído para automatizar processos, realizar a comunicação e rastreabilidade dos apontamentos. Contribui com uma visão ágil das informações para priorização na tomada de decisão e gerenciamento dos processos de conformidade com visibilidade centralizada. Seus recursos tornam a implementação de controles dentro da empresa muito mais eficiente e menos custosa, proporcionando uma economia de tempo através do ganho de eficiência e de dinheiro já que com GAT não é necessário uma consultoria externa ou recurso extra para avaliar a conformidade de terceiros. 
Nossa base de conhecimento está em constante atualização e expansão com as principais leis e regulamentos relacionados à segurança cibernética pelo mundo. Aproveite e baixe o nosso checklist de conformidade com o NIST Cybersecurity Framework para começar hoje mesmo o processo de conformidade da sua empresa. Agende uma demonstração e saiba como desenvolver um processo de conformidade eficiente e seguro.

Você também pode curtir isso:

Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200

+55 (11) 4395-1322
Copyright © 2021