O que é o NIST Cybersecurity Framework?

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) é uma agência não regulatória que promove a inovação por meio do avanço da ciência, das normas e da tecnologia de medição.

O NIST CSF é flexível o suficiente para se integrar aos processos de segurança existentes em qualquer organização, em qualquer setor. Ele oferece um excelente ponto de partida para implementar o gerenciamento da segurança da informação e dos riscos de cibersegurança em praticamente qualquer organização do setor privado nos Estados Unidos.

Em 12 de fevereiro de 2013, a Ordem Executiva (EO) 13636 "Improving Critical Infrastructure Cybersecurity" foi emitida. Isso iniciou o trabalho do NIST com o setor privado dos EUA para "identificar os padrões de consenso voluntário existentes e as melhores práticas do setor para incorporá-los em um framework de cibersegurança". O resultado desta colaboração foi a versão 1.0 do NIST Cybersecurity Framework.

A Cybersecurity Enhancement Act (CEA) de 2014 ampliou os esforços do NIST no desenvolvimento do Cybersecurity Framework. Atualmente, o NIST CSF ainda é um dos frameworks de segurança mais amplamente adotados em todos os setores dos EUA.

O NIST Cybersecurity Framework inclui funções, categorias, subcategorias e referências informativas.

As funções fornecem uma visão geral dos protocolos de segurança das melhores práticas. As funções não pretendem ser etapas processuais, mas são executadas "de forma concomitante e contínua para formar uma cultura operacional que lida com o risco de cibersegurança". As categorias e subcategorias fornecem planos de ação mais concretos para departamentos ou processos específicos dentro de uma organização.

Exemplos de funções e categorias do NIST incluem:

• Identificar: para se proteger contra ciberataques, a equipe de cibersegurança precisa de uma compreensão completa dos ativos e recursos mais importantes da organização. A função Identificar inclui categorias como gestão de ativos, ambiente de negócios, governança, avaliação de riscos, estratégia de gerenciamento de riscos e gerenciamento de riscos da cadeia de suprimentos.
  
  
• Proteger: a função Proteger abrange grande parte dos controles de segurança técnica e física para desenvolver e implementar salvaguardas apropriadas e proteger a infraestrutura crítica. Essas categorias são gerenciamento de identidade e controle de acesso, consciência e treinamento, segurança de dados, processos e procedimentos de proteção de informações, manutenção e tecnologia de proteção.
  
  
• Detectar: a função Detectar implementa medidas que alertam uma organização sobre ciberataques. Categorias de Detectar incluem anomalias e eventos, segurança, monitoramento contínuo e processos de detecção.
  
  
• Responder: as categorias da função Responder garantem a resposta adequada a ciberataques e outros eventos de cibersegurança. Categorias específicas incluem planejamento de resposta, comunicações, análise, mitigação e melhorias.
  
  
• Recuperação: as atividades de Recuperação implementam planos de resiliência cibernética e garantem a continuidade de negócios no caso de um ciberataque, violação de segurança ou outro evento de cibersegurança. As funções Recuperação são melhorias no planejamento de recuperação e comunicações.

As referências informativas do NIST CSF traçam uma correlação direta entre as funções, categorias, subcategorias e os controles de segurança específicos de outros frameworks. Esses frameworks são:

1. The Center for Internet Security (CIS) Controls
2. COBIT 5
3. International Society of Automation (ISA) 62443-2-1:2009
4. ISA 62443-3-3:2013
5. International Organization for Standardization and the International Electrotechnical Commission 27001:2013
6. NIST SP 800-53 Rev. 4
   

O NIST CSF não informa como fazer o inventário dos dispositivos e sistemas físicos ou como fazer o inventário das plataformas de software e aplicações; ele apenas fornece uma lista de verificação de tarefas a serem concluídas. Uma organização pode escolher seu próprio método sobre como realizar o inventário.

Se uma organização precisar de mais orientação, ela pode consultar as referências informativas aos controles relacionados em outras normas complementares. Há muita liberdade no CSF para selecionar as ferramentas que melhor atendem às necessidades de gerenciamento de riscos de cibersegurança de uma organização.

Para ajudar as organizações do setor privado a medir seu progresso em direção à implementação do NIST Cybersecurity Framework, o framework identifica quatro níveis de implementação:

• Nível 1 – Parcial: a organização está familiarizada com o NIST CSF e pode ter implementado alguns aspectos de controle em algumas áreas da infraestrutura. A implementação de atividades e protocolos de cibersegurança tem sido reativa versus planejada. A organização tem uma consciência limitada dos riscos de cibersegurança e não tem os processos e recursos para possibilitar a segurança das informações.
  
  
• Nível 2 – Informada sobre os riscos: a organização está mais consciente dos riscos de cibersegurança e compartilha informações informalmente. Falta um processo de gerenciamento de risco de cibersegurança planejado, repetível e proativo em toda a organização.
  
  
• Nível 3 – Repetível: a organização e seus altos executivos estão cientes dos riscos de cibersegurança. Implementaram um plano de gerenciamento de risco de cibersegurança repetível em toda a organização. A equipe de cibersegurança criou um plano de ação para monitorar e responder de forma eficaz a ciberataques.
  
  
• Nível 4 – Adaptativa: a organização agora tem resiliência cibernética e usa lições aprendidas e indicadores preditivos para evitar ciberataques. A equipe de cibersegurança melhora e avança continuamente as tecnologias e práticas de cibersegurança da organização e se adapta às mudanças nas ameaças de forma rápida e eficiente. Existe uma abordagem em toda a organização para o gerenciamento de riscos de segurança da informação, com tomada de decisão, políticas, procedimentos e processos informados por riscos. As organizações adaptativas incorporam o gerenciamento de riscos de cibersegurança nas decisões orçamentárias e na cultura organizacional.

O NIST Cybersecurity Framework fornece um guia passo a passo sobre como estabelecer ou melhorar seu programa de gerenciamento de riscos de segurança da informação:

1. Priorize e crie o escopo: tenha uma ideia clara do escopo do projeto e identifique as prioridades. Estabeleça objetivos empresariais ou de missão de alto nível, necessidades empresariais e determine a tolerância ao risco da organização.
   
   
2. Oriente: avalie os ativos e sistemas da organização e identifique os regulamentos aplicáveis, a abordagem dos riscos e as ameaças à organização.
   
   
3. Crie um perfil atual: Um perfil atual é uma captura instantânea de como a organização está gerenciando riscos, conforme definido pelas categorias e subcategorias do CSF.
   
   
4. Realize uma avaliação de riscos: avalie o ambiente operacional, os riscos emergentes e as informações sobre ameaças à cibersegurança para determinar a probabilidade e a gravidade de um evento de cibersegurança.
   
   
5. Crie um perfil-alvo: um perfil-alvo representa o objetivo de gerenciamento de riscos da equipe de segurança da informação.
   
   
6. Determine, analise e priorize as lacunas: ao identificar as lacunas entre o perfil atual e o desejado, a equipe de segurança da informação pode criar um plano de ação, incluindo marcos e recursos mensuráveis e os recursos (pessoas, orçamento, tempo) necessários para preencher essas lacunas.
   
   
7. Implemente o plano de ação: implemente o plano de ação definido na etapa 6.