NIST Cybersecurity Framework completa 5 anos. Você já conhece? O NIST Cybersecurity Framework (CSF) está completando seu 5º aniversário e, embora desenvolvido para infraestrutura crítica, resultante de uma determinação federal Americana nº13.636, foi amplamente adotado nos setores público e privado nos mais diversos tamanhos organizacionais.
O NIST CSF é adotado em 20 estados dos EUA , além de organizações internacionais, como o governo italiano, e organizações do setor privado, incluindo tecnologia e educação em todo o mundo.
O Framework do NST é uma estrutura que consiste em padrões, diretrizes e melhores práticas para gerenciar riscos relacionados à segurança cibernética. A abordagem priorizada, flexível e econômica do Cybersecurity Framework ajuda a promover a proteção e a resiliência da infraestrutura crítica e de outros setores importantes para a economia e a segurança.
“Embora a estrutura do Cybersecurity Framework tenha sido desenvolvida inicialmente com foco em nossa infraestrutura crítica, como transporte e rede elétrica, hoje ela está tendo um impacto muito mais amplo e positivo neste país e em todo o mundo“, disse o subsecretário de Comércio para Padrões e Tecnologia e Diretor do NIST Walter G. Copan.
“O NIST está comprometido em garantir que ainda mais organizações, especialmente empresas menores, conheçam e possam usar a Estrutura de Segurança Cibernética para ajudar a fortalecer a segurança de seus sistemas, operações e dados e fazer escolhas sensatas e econômicas para mitigar os riscos de segurança cibernética e privacidade ”, disse Copan.
Por que do NIST CSF?
Se houver um tema abrangente de segurança a ser implementado, não haverá uma solução única para todos, o perfil de risco, requisitos regulatórios e restrições financeiras e de tempo são únicos para cada organização. O Cybersecurity Framework do NIST permite que cada organização leve em consideração esses fatores ao implementá-lo.
Além disso, a implementação não é uma proposta de tudo ou nada. Sem as restrições de um regulamento de conformidade formal para retê-lo, você é livre para implementar a estrutura do NIST da maneira que melhor atenda às suas necessidades de negócios.
Depois de estabelecer seu perfil atual e o perfil de destino, você pode usar as lacunas entre eles como uma ferramenta para ajudar a priorizar ações de melhoria, com base em seu orçamento e recursos.
O NIST CSF permite que você estabeleça ou desenvolva sua base identificando o que precisa ser protegido, implementando proteções e detectando, respondendo e recuperando-se de eventos e incidentes. Nos termos mais simples, o NIST CSF define resultados com base em suas ameaças e riscos exclusivos, além de como você gerencia os riscos em sua organização.
Desta forma o NIST CSF divide as ações de segurança em :
- Identificar
- Proteger
- Detectar
- Responder
- Recuperar
IDENTIFICAR – Saiba o que você tem e o que você está enfrentando
O NIST CSF solicita que as organizações identifiquem seus dados e os dispositivos que armazenam, transmitem e processam informações. Isso significa que você deve ter um inventário de dados, os dispositivos, os aplicativos e a infraestrutura subjacente que processa e armazena esses dados.
Na medida que você sabe quais dados você tem, é possível identificar ameaças e vulnerabilidades no ambiente. Isso permite que você se concentre em proteger os ativos mais “críticos” ou o que é mais valioso para sua organização.
PROTEGER – Coloque medidas de proteção no lugar
Depois de saber o que você precisa proteger, você pode definir medidas para salvaguardar esses dados. Abordagem de “Nós temos um firewall. Nossos dados estão protegidos” está muito longe de ser suficiente para a proteção das informações da empresa. Uma abordagem em camadas da segurança é fundamental para proteger a camada de conectividade, a camada de aplicativos e o próprio dispositivo.
DETECTAR – Monitor, monitor, monitor
Sempre há mudanças nas circunstâncias, mesmo com os programas de segurança mais maduros. É por isso que você deve monitorar continuamente o ambiente para detectar eventos e possíveis incidentes. Não apenas você deve monitorar, mas também melhorar sua estratégia de monitoramento e tecnologias que você usa.
A detecção deve ser eficiente e eficaz. Pense sempre que sua organização pode se encaixar em um desses dois intervalos: “você foi violado e você sabe disso” ou “você foi violado e não sabe disso”.
Otimize e ajuste continuamente as tecnologias e processos que você possui. Você não pode responder ao que não consegue detectar.
RESPONDER – Tem um plano
Como todos sabemos, não é se você for violado, mas sim quando. Ter um plano de resposta formal e testado que seja conhecido pela organização, seus stakeholders e respondentes é crucial. Como a detecção, a resposta deve ser eficiente e eficaz, para que você possa voltar aos negócios o mais rápido possível. Além disso, como a detecção, o plano de resposta deve ser continuamente aprimorado.
RECUPERAR – Recupere e melhore
Por último, mas não menos importante, você deve se recuperar quando sua organização for interrompida por uma violação. Embora nenhuma organização queira passar por isso, é uma maneira de ver onde melhorias podem ser feitas. Você pode restaurar negócios e operações de TI, mas não até que você tenha tempo para investigar o que deu errado e onde os controles de segurança podem ser melhorados.
O framework permite lições aprendidas na vida real e reflete sobre como melhorar o processo geral. Não apenas você teve a oportunidade de amadurecer – mas da próxima vez, o processo de resposta e recuperação será mais eficiente.
NIST no mundo
A estrutura de segurança cibernética foi traduzida para hebraico, italiano, japonês e, mais recentemente, espanhol. Traduções em português e árabe são esperadas em breve. Vários países fazem referência ou baseiam-se no framework em suas próprias abordagens. Somente no ano passado, membros da equipe do NIST se reuniram com representantes do México, Canadá, Brasil, Uruguai, Japão, Bermudas, Arábia Saudita, Reino Unido e Israel para discutir e encorajar esses países a usar, ou em alguns casos , expandir seu uso do framework.
“O NIST continua a melhorar as informações e a acessibilidade ao Cybersecurity Framework“, disse Kevin Stine, chefe da Divisão de Segurança Cibernética Aplicada do NIST. Kevin disse que no ano passado, o NIST lançou um catálogo de módulos de aprendizado online e disponibilizou histórias de sucesso que descrevem como várias organizações estão usando a estrutura e incluem lições aprendidas.
O site também apresenta mais de 100 recursos online produzidos por organizações do setor público e privado que oferecem orientação e exemplos sobre o uso da Estrutura de Segurança Cibernética. Comentários e perguntas – junto com solicitações de alertas por e-mail – podem ser enviados para cyberframework@nist.gov.
Fonte: Alien Vault Blog & NIST News
Veja também:
Deixe sua opinião!