©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
NIST

O que é o NIST e quais os 5 pilares do framework de cibersegurança

Equipe EcoTrust

8 min read
O que é o NIST e quais os 5 pilares do framework de cibersegurança

Os esforços no sentido de promover a proteção de dados são uma demanda urgente no contexto organizacional e é por isso que os gestores se apoiam em recursos como o framework de cibersegurança do NIST .

Não é novidade o alto risco que a possibilidade de roubo ou perda de dados representa para uma empresa, seja ela ou não ligada ao ramo da tecnologia.

É preciso pensar nos dados como ativos importantes , sejam eles relativos aos seus clientes, arquivos válidos ou de propriedade intelectual.

E como qualquer bem valioso, eles precisam ser tratados e armazenados da maneira mais segura possível.

Nesse sentido, o NIST ( National Institute of Standards and Technology ou Instituto Nacional de Padrões e Tecnologia) se desenvolveu nos Estados Unidos como uma instituição que desenvolve padrões e orientações relacionadas à proteção de informações .

Entre as organizações que recorrem e confiam nessas orientações estão o próprio governo americano e, consequentemente, todos os seus contratados privados.

Um dos padrões de maior destaque na atualidade é o framework de segurança cibernética NIST CSF , que surgiu a partir do Cybersecurity Enhancement Act aprovado em dezembro de 2014.

A partir da expansão de sua utilização em entidades do mundo inteiro, novos benefícios do NIST vêm sendo detectados e é por isso que ele é o assunto deste artigo.

Se você precisa melhorar a segurança digital do seu negócio e ainda não conta com um padrão confiável a ser seguido, é hora de se basear no NIST .

Nos próximos apresentados, vamos explicar mais a fundo o que é o NIST e em que consiste o seu framework de cibersegurança.

Além disso, você vai entender a importância deste guia para a segurança cibernética do seu negócio e quais são os cinco pilares do NIST Cybersecurity Framework.

O que é NIST?

Como vimos, o NIST é o Instituto Nacional de Padrões e Tecnologia dos Estados Unidos. Trata-se de uma agência governamental não regulatória que fornece padrões e orientações para as organizações .

O NIST foi criado com o objetivo de incentivar a inovação e apoiar a competitividade industrial, sobretudo nas áreas de ciência, tecnologia e engenharia.

Nesse contexto, a principal função do Instituto é a criação de padrões, que correspondem a conjuntos de práticas a serem seguidas por agências e organizações .

Esses padrões podem ser pensados ​​como um grupo de diretrizes e práticas recomendadas, que foram concebidos para ajudar as empresas a melhorarem suas estratégias de segurança .

Seu objetivo inicial era melhorar a postura de segurança tanto das autoridades governamentais quanto das empresas privadas que lidam com os dados dessas agências.

Porém, com os bons resultados obtidos a partir da implementação, sua aplicação se estendeu para as empresas dos mais diversos segmentos dentro e fora dos Estados Unidos.

O NIST Cybersecurity Framework (CSF) foi lançado pela primeira vez em 2014 já com a missão de padronizar práticas de segurança, permitindo para as organizações uma abordagem mais uniforme .

O framework ajuda no fornecimento de estrutura e contexto à segurança cibernética , o que tem incentivado muitas empresas a implementá-lo.

Para além da melhoria da cibersegurança, ele também ajuda na redução do risco potencial de responsabilidade legal corrido pelas organizações.

Nesse sentido, participe-se mais palpáveis​​​como práticas de proteção contra ataques cibernéticos e violação de dados em geral.

As empresas que seguem esse quadro de segurança são chamadas de organizações em conformidade com o NIST .

Isso significa que eles passaram por um processo de evolução ao NIST Cybersecurity Framework ou a alguma outra publicação do NIST.

Como mencionamos acima, o NIST não é uma agência reguladora, mas as agências governamentais e as empresas que operam para o governo americano precisam seguir certos padrões seguidos por ele.

Desde sua primeira publicação dedicada à padronização de ações de segurança cibernética, o NIST tinha como objetivo promover a proteção de informações pessoais não classificadas.

Considerando que essas informações estavam armazenadas em sistemas e ambientes digitais não apenas do governo, mas também em organizações não federais, a necessidade de padronização se evidenciava.

Assim, a missão serviu para esclarecer o papel dessas organizações nos incidentes envolvendo violação de dados e orientações sobre os tipos de dados a serem protegidos.

Além disso, as entidades detentoras das informações também ficaram a par dos tipos de proteção de dados a serem aplicados .

Muitas vezes, a necessidade de conformidade com o NIST é incluída nos contratos assinados entre empresas privadas e autoridades governamentais.

Essa necessidade também vale para as empresas subcontratadas, ou seja, aquelas que prestam serviços para outra empresa contratada pelo governo.

Ao longo dos anos, as publicações foram sendo atualizadas e a versão mais recente do framework de cibersegurança do NIST é o documento NIST SP 800-171 Rev2.

Nesse processo diversas empresas que trabalham ou não com as autoridades governamentais americanas observaram as vantagens da implementação das diretrizes do NIST e as adotaram.

Estar em conformidade com o NIST também é uma condição facilitadora da obediência a outras estruturas de segurança.

Podemos citar como exemplos a Lei Sarbanes-Oxley (SOX) e o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).

No Brasil, é claro que estar em conformidade com o NIST ajuda as empresas a cumprirem os requisitos da Lei Geral de Proteção de Dados ( LGPD ).

Ao seguir as boas práticas recomendadas pelo NIST, você garante que os dados, sistemas e redes da sua empresa estejam protegidos contra os ataques cibernéticos.

Além de representar economia de tempo e recursos, essa conformidade é uma prática preventiva que protege a própria continuidade do negócio .

O que é NIST Cybersecurity Framework?

O NIST Cybersecurity Framework (CSF) é um dos documentos elaborados pelo NIST, especialmente voltado para a segurança digital e para as organizações do setor privado .

A proposta dessas diretrizes é garantir segurança para a infraestrutura crítica de TI, fornecendo orientações, mas sem um foco no atendimento da conformidade.

Seu maior objetivo é incentivar as empresas a colocarem o tratamento dos riscos de cibersegurança no topo de sua lista de prioridades.

Nesse sentido, os riscos cibernéticos devem ser tratados em pé de igualdade com os riscos financeiros, operacionais e de segurança industrial e pessoal .

Outro objetivo do documento é possibilitar que se discuta a respeito dos riscos de segurança cibernética integram a rotina diária das empresas.

De modo geral, podemos dizer que o NIST CSF foi elaborado com a meta de auxiliar as organizações que precisam proteger uma infraestrutura considerada crítica .

Sendo assim, a implementação das diretrizes do documento pode aumentar a segurança das organizações das seguintes formas:

  • Na evolução dos níveis atuais de medidas relacionadas à segurança cibernética já integrada, criando um perfil;
  • Na identificação de novos padrões e políticas de segurança a serem integrados;
  • Na comunicação de novos requisitos;
  • Na criação de um novo programa de segurança cibernética para o negócio.

O NIST CSF conta com uma abordagem bastante flexível baseada em riscos para a segurança cibernética.

Isso significa que ele pode e deve ser implementado em diversas categorias de empresas, desde aqueles que operam totalmente à tecnologia, passando pelas empresas de infraestrutura crítica em finanças e chegando aos médios e pequenos negócios dos mais variados segmentos.

A estrutura do NIST pode ser adotada com facilidade por conta de sua natureza intencionalmente e da possibilidade de personalização para as necessidades específicas de cada negócio.

O documento foi desenvolvido de uma forma que possibilita tanto às partes técnicas do negócio quanto às comerciais entenderem seus benefícios.

Ou seja, tanto técnicos quanto executivos vivenciam as melhorias alcançadas a partir do segmento do NIST CSF, já que a abordagem de gerenciamento de risco fica bem definida aos objetivos da organização.

Entre os resultados visíveis a partir da utilização do padrão, estão o aprimoramento comunicacional , o melhor alocamento dos recursos destinados à segurança e a facilitação da tomada de decisões .

Por outro lado, os perfis, níveis de implementação e funções principais orientam as empresas de tal modo que todas elas conseguem criar uma postura de cibersegurança de padrão global.

Eles representam os pilares do quadro, sobretudo quando se pensa em suas funções principais.

Vamos ver a seguir em que consistem esses três segmentos de informações contidas no NIST CSF.

Perfis

Os perfis correspondem às categorias e subcategorias das funções principais , sobre as quais falaremos mais adiante.

A organização pode priorizar uma ou mais funções ou perfil de acordo com a necessidade do negócio.

O perfil definido como meta pode ser utilizado como parâmetro de medição do progresso da empresa.

Níveis de implementação

Os níveis de implementação são os experimentados do grau em que as características definidas no perfil a serem alcançadas aparecem nas práticas de gerenciamento de riscos de segurança cibernética da empresa.

Os níveis podem ir do parcial (nível 1) ao adaptativo (nível 4) e a empresa pode seguir em suas metas coincidentes.

Funções principais

As principais funções correspondem aos principais pilares do framework de cibersegurança do NIST.

Elas formam um conjunto de atividades de segurança cibernética, resultados desejados e referências definitivas.

No total, essas funções são cinco e ocorrem de forma simultânea e contínua no que diz respeito ao gerenciamento de riscos de segurança digital. São elas: identificar, proteger, detectar, responder e recuperar .

Falaremos mais profundamente sobre cada uma delas no próximo tópico.

Cinco pilares principais do NIST Cybersecurity Framework

Como vimos, os pilares do NIST Cybersecurity Framework são formados por perfis, níveis de implementação e funções principais.

Nosso foco neste tópico são as funções principais , que incluem práticas, normas e diretrizes que possibilitam a comunicação de atividades e resultados de segurança obtidos em toda a organização.

Vamos falar, em seguida, sobre os cinco pilares, que são simultâneos e contínuos.

Identificação

O foco da função de identificação é o negócio e a forma como ele se relaciona com os riscos de segurança cibernética , considerando os recursos disponíveis.

As atividades de destaque associadas a esta função são as seguintes:

  • gerentes de ativos;
  • Ambiente de negócios;
  • Governança;
  • Avaliação de risco;
  • Estratégia de Gestão de Risco .

O pilar da identificação define as bases para as ações aplicadas à segurança cibernética que a empresa pretende colocar em prática no futuro.

Ou seja, a identificação consiste em determinar os ambientes existentes na empresa, quais são os riscos associados a eles e como essa contextualização se relaciona com os objetivos de negócio.

A implementação eficaz dessa função possibilita a compreensão de todos os ativos e ambientes além da empresa, a partir dos estados atuais e dos desejos de segurança.

A função também compreende um plano de avanço entre os estados de segurança, articulando as partes técnicas e comerciais do negócio.

proteção

A função de proteção do NIST Cybersecurity Framework tem o objetivo de desenvolver e implementar as proteções adequadas para garantir a entrega dos serviços de infraestrutura crítica.

Ela oferece suporte à necessidade de conter os efeitos de um possível incidente de segurança cibernética.

Alguns resultados dentro dessa função estão relacionados a:

  • gerenciamento de identidade;
  • Controle de acesso;
  • Treinamento;
  • Engajamento;
  • Processos e procedimentos de proteção de informações;
  • Manutenção das tecnologias de proteção.

Nesta função, o framework se torna mais proativo, evidenciando-se, por exemplo, em práticas de autenticação multifatores e na promoção de treinamentos para os colaboradores .

Como os ciberataques são cada vez mais comuns, é fundamental a implementação de protocolos e políticas adotadas para reduzir os riscos de violação.

Nesse contexto, o pilar de proteção funciona como um guia e define os resultados necessários para o alcance do objetivo acima.

Detecção

O pilar da detecção diz respeito ao desenvolvimento e à implementação das atividades necessárias ao reconhecimento de um incidente de segurança cibernética.

Ele permite à empresa descobrir oportunamente esse tipo de evento e é uma etapa crítica para o estabelecimento de um programa cibernético robusto.

Veja abaixo algumas categorias de resultados incluídos nesta função:

  • Anomalias e eventos: as atividades incomuns serão detectadas com a maior organização possível e a equipe compreenderá os efeitos do evento;
  • Monitoramento de segurança contínuo : a equipe e os sistemas tornam-se capazes de monitorar os ativos 24 horas por dia e 7 dias por semana;
  • Processos de detecção: há uma ampla conscientização sobre os eventos cibernéticos a partir da implementação e testagem dos procedimentos de detecção.

A detecção é fundamental para a segurança e o sucesso de um negócio, uma vez que é a partir dela que é possível mitigar os riscos de segurança cibernética.

Resposta

Esta função diz respeito ao desenvolvimento e à implementação das atividades atenciosas à reação a um incidente de segurança cibernética.

Assim, ela está ligada à capacidade de conter ou reduzir o impacto de um possível evento de segurança.

Planejamento de respostas, comunicações, análise e mitigação são alguns exemplos de categorias de resultados obtidos por esta função.

Essas categorias correspondem às atividades empregadas para fornecer ao programa um estado contínuo de melhorias.

A adoção da função de resposta começa pela implementação de um plano de resposta a incidentes e pode continuar com um plano de mitigação .

Recuperação

A recuperação está ligada ao emprego das atividades executadas à manutenção dos planos de resiliência e restauração de recursos ou serviços prejudicados por conta de um evento de segurança cibernética.

Essa função fornece suporte à recuperação de operações e impacto de um incidente de segurança.

Alguns resultados para esta função do framework são:

  • O planejamento de recuperação (os procedimentos são testados, executados e aprovados);
  • As melhorias (aprimoramento dos processos quando os incidentes acontecem);
  • A comunicação (coordenação promotora da organização, do planejamento e da execução).

O pilar da recuperação permite à empresa permanecer no caminho rumo a suas metas e objetivos mesmo nos casos de violação de dados.

Como foi possível perceber, os pilares do NIST CSF orientam as empresas na criação de uma estrutura forte e complexa de segurança cibernética. Para saber mais sobre o NIST Cybersecurity Framework , leia: Cyber ​​Security Framework: como e por que implementar . Até o próximo artigo!

Inscreva-se para mais como este.

Enter your email
Subscribe