O que é o NIST Cybersecurity Framework?

O National Institute of Standards and Technology (NIST) é uma agência não reguladora que promove a inovação por meio do avanço da ciência, padrões e tecnologia de medição. O NIST Cybersecurity Framework (NIST CSF) consiste em padrões, diretrizes e práticas recomendadas que ajudam as organizações a melhorar seu gerenciamento de riscos de segurança cibernética. 

O NIST CSF foi projetado para ser flexível o suficiente para se integrar aos processos de segurança existentes em qualquer organização, em qualquer setor. Ele fornece um excelente ponto de partida para implementar segurança da informações e gerenciamento de riscos de segurança cibernética em praticamente qualquer organização do setor privado nos Estados Unidos.

Em 12 de fevereiro de 2013, foi emitida a Ordem Executiva (EO) 13636: "Improving Critical Infrastructure Cybersecurity". Isto iniciou o trabalho do NIST com o setor privado dos EUA para "identificar padrões de consenso voluntários existentes e melhores práticas da indústria para incorporá-los em uma Estrutura de Segurança Cibernética". O resultado dessa colaboração foi o NIST Cybersecurity Framework Versão 1.0.

O Cybersecurity Enhancement Act (CEA) de 2014 ampliou os esforços do NIST no desenvolvimento do Cybersecurity Framework. Hoje, o NIST CSF ainda é uma das estruturas de segurança mais amplamente adotadas em todos os setores dos EUA.

O NIST Cybersecurity Framework inclui funções, categorias, subcategorias e referências informativas. 

As funções fornecem uma visão geral dos protocolos de segurança de melhores práticas. As funções não devem ser etapas processuais, mas devem ser executadas “simultaneamente e continuamente para formar uma cultura operacional que aborde o risco dinâmico de segurança cibernética”. Categorias e subcategorias fornecem planos de ação mais concretos para departamentos ou processos específicos dentro de uma organização. 

Exemplos de funções e categorias do NIST incluem o seguinte:

• Identificar: para se proteger contra ataques cibernéticos, a equipe de segurança cibernética precisa de um entendimento completo de quais são os ativos e recursos mais importantes da organização. A função de identificação inclui categorias como gerenciamento de ativos, ambiente de negócios, governança, avaliação de riscos, estratégia de gerenciamento de riscos e gerenciamento de riscos da cadeia de suprimentos.
  
  
• Proteger: a função de proteção abrange grande parte dos controles de segurança técnica e física para desenvolver e implementar salvaguardas apropriadas e proteger a infraestrutura crítica. Essas categorias são Gerenciamento de identidade e controle de acesso, Conscientização e treinamento, Segurança de dados, Processos e procedimentos de proteção de informações, Manutenção e Tecnologia de proteção.
  
  
• Detectar: a função de detecção implementa medidas que alertam uma organização sobre ataques cibernéticos. As categorias de detecção incluem anomalias e eventos, monitoramento contínuo de segurança e processos de detecção.
  
  
• Responder: as categorias de funções de resposta garantem a resposta adequada a ataques cibernéticos e outros eventos de segurança cibernética. As categorias específicas incluem Planejamento de resposta, Comunicações, Análise, Mitigação e Melhorias.
  
  
• Recuperar: as atividades de recuperação implementam planos de resiliência cibernética e garantem a continuidade dos negócios em caso de ataque cibernético, violação de segurança ou outro evento de segurança cibernética. As funções de recuperação são melhorias de planejamento de recuperação e comunicações.

As referências informativas do NIST CSF estabelecem correlação direta entre as funções, categorias, subcategorias e os controles de segurança específicos de outras estruturas. Essas estruturas incluem o Center for Internet Security (CIS) Controls®, COBIT 5, International Society of Automation (ISA) 62443-2-1:2009, ISA 62443-3-3:2013, International Organization for Standardization e International Electrotechnical Commission 27001:2013 e NIST SP 800-53 Rev. 4.

O NIST CSF não informa como inventariar os dispositivos e sistemas físicos ou como inventariar as plataformas de software e aplicativos; apenas fornece uma lista de verificação de tarefas a serem concluídas. Uma organização pode escolher seu próprio método de como realizar o inventário. Se uma organização precisar de orientação adicional, ela pode consultar as referências informativas aos controles relacionados em outras normas complementares. Há muita liberdade no CSF para escolher as ferramentas que melhor atendem às necessidades do gerenciamento de riscos de segurança cibernética de uma organização.

Para ajudar as organizações do setor privado a medir seu progresso na implementação do NIST Cybersecurity Framework, o framework identifica quatro níveis de implementação:

• Nível 1 - Parcial: a organização está familiarizada com o NIST CSF e pode ter implementado alguns aspectos de controle em algumas áreas da infraestrutura. A implementação de atividades e protocolos de segurança cibernética foi reativa versus planejada. A organização tem consciência limitada dos riscos de segurança cibernética e carece de processos e recursos para permitir a segurança da informação.
  
  
• Nível 2 - Risco informado: a organização está mais ciente dos riscos de segurança cibernética e compartilha informações informalmente. Falta um processo de  gerenciamento de  riscos  de segurança cibernética planejado, repetível e proativo em toda a organização.
  
  
• Nível 3 - Repetido: a organização e seus executivos seniores estão cientes dos riscos de segurança cibernética. Eles implementaram um plano repetido de gerenciamento de riscos de segurança cibernética em toda a organização. A equipe de segurança cibernética criou um plano de ação para monitorar e responder de forma eficaz aos ataques cibernéticos.
  
  
• Nível 4 - Adaptativo: a organização agora é resiliente cibernética e usa lições aprendidas e indicadores preditivos para evitar ataques cibernéticos. A equipe de segurança cibernética melhora e aprimora continuamente as tecnologias e práticas de segurança cibernética da organização e se adapta às mudanças nas ameaças de maneira rápida e eficiente. Existe uma abordagem em toda a organização para o gerenciamento de riscos de segurança de informações como tomada de decisões, políticas, procedimentos e processos informados sobre riscos. As organizações adaptáveis incorporam o gerenciamento de riscos de segurança cibernética nas decisões orçamentárias e na cultura organizacional.

O NIST Cybersecurity Framework fornece um guia passo a passo sobre como estabelecer ou melhorar seu programa de gerenciamento de riscos de segurança de informações:

1. Priorizar e definir rescopo: crie uma ideia clara sobre o escopo do projeto e identifique as prioridades. Estabeleça os objetivos de negócios ou missão de alto nível, as necessidades de negócios e determine a tolerância ao risco da organização.
   
   
2. Orientar: faça um balanço dos ativos e sistemas da organização e identifique os regulamentos aplicáveis, a abordagem de risco e as ameaças às quais a organização pode estar exposta.
   
   
3. Criar um perfil atual: um perfil atual é uma captura instantânea de como a organização está gerenciando o risco no momento, conforme definido pelas categorias e subcategorias do CSF.
   
   
4. Conduzir uma avaliação de risco: avalie o ambiente operacional, riscos emergentes e informações sobre ameaças à segurança cibernética para determinar a probabilidade e a gravidade de um evento de segurança cibernética que pode afetar a organização.
   
   
5. Criar um perfil de destino: um perfil de destino representa o objetivo de gerenciamento de riscos da equipe de segurança de informações.
   
   
6. Determine, analise e priorize lacunas: ao identificar as lacunas entre o perfil atual e o de destino, a equipe de segurança de informações pode criar um plano de ação, incluindo marcos mensuráveis e recursos (pessoas, orçamento, tempo) necessários para preencher essas lacunas.
   
   
7. Implementar plano de ação: implemente o plano de ação definido na Etapa 6.