O que é o Framework de Cibersegurança do NIST? O guia definitivo

O National Institute of Standards and Technology (NIST) fornece orientações e melhores práticas para as organizações seguirem, a fim de ajudar empresas, organizações sem fins lucrativos e outras instituições do setor privado a aprimorar o gerenciamento de riscos de cibersegurança. O NIST faz parte do Departamento de Comércio dos EUA e é um dos laboratórios de ciências (físicas) mais antigos do país. 

Em 2013, o presidente emitiu a Ordem Executiva 13636, que declarava:

“É política dos Estados Unidos aprimorar a segurança e a resiliência da infraestrutura crítica da Nação e manter um ambiente cibernético que incentive eficiência, inovação e prosperidade econômica, ao mesmo tempo em que promova segurança, proteção, confidencialidade empresarial, privacidade e liberdades civis."

Essa Ordem Executiva estabeleceu certos requisitos que o NIST aplicou ao seu framework de cibersegurança, incluindo:

• Identificar padrões e diretrizes de segurança aplicáveis em todos os setores de infraestrutura crítica.

• Fornecer uma abordagem priorizada, flexível, repetível, baseada em desempenho e econômica.

• Ajudar proprietários e operadores de infraestrutura crítica a identificar, avaliar e gerenciar riscos cibernéticos.

• Permitir a inovação técnica e considerar as diferenças organizacionais.

• Fornecer orientações neutras em relação à tecnologia e permitir que os setores de infraestrutura crítica se beneficiem de um mercado competitivo de produtos e serviços.

• Incluir orientações para medir o desempenho da implementação do Framework de Cibersegurança.

• Identificar áreas de melhoria que devem ser tratadas por meio de colaboração futura com setores específicos e organizações de desenvolvimento de normas.

Por que isso se tornou tão importante? 

Em termos simples, o aumento das ameaças de cibersegurança afeta empresas e outras organizações diariamente. Sem uma fonte única da verdade, seria quase impossível para as empresas desenvolver uma estrutura completa e eficaz para ajudá-las a implementar medidas efetivas de mitigação de riscos de segurança. É por isso que o Framework de Cibersegurança do NIST se tornou tão crucial para as empresas; ele incentiva soluções eficientes, inovadoras e resilientes para manter a segurança.

Essencialmente, o Framework de Cibersegurança do NIST ajuda organizações de todos os tipos a entender, gerenciar e reduzir melhor os riscos de cibersegurança. O resultado final de seguir essas orientações é uma melhor proteção de redes e dados. O Framework de Cibersegurança do NIST é estruturado de forma que qualquer empresa ou organização possa implementá-lo para entender melhor onde concentrar tempo e recursos para aprimorar a proteção de cibersegurança. Trata-se de capacitar as empresas para serem mais eficazes na proteção de seus dados, dos dados de seus clientes, de suas redes e de seus funcionários.

Embora o Framework de Cibersegurança do NIST tenha sido desenvolvido por uma organização dos Estados Unidos, ele foi criado com a ideia de adoção global. Para esse fim, foi traduzido para muitos idiomas e adotado por governos, empresas e organizações em todo o mundo.

Desde o NIST Cybersecurity Framework 1.1, muitas organizações e governos adotaram o framework com sucesso, incluindo:

• Saudi Aramco

• Governo de Bermudas

• Diretoria Nacional de Cibersegurança de Israel

• Cimpress-FAIR

• Centro Multiestadual de Compartilhamento e Análise de Informações

• Centro Médico da Universidade do Kansas

• Universidade de Pittsburgh

• ISACA

• Fórum Intersetorial Japonês

• Universidade de Chicago

• Autoridade do Rio Lower Colorado

• Optic Cyber Solutions   

A versão mais recente do NIST Cybersecurity Framework (CSF) é voltada a públicos, setores e organizações de todos os tipos e tamanhos, desde pequenas escolas e organizações sem fins lucrativos até grandes corporações. O framework foi projetado para que qualquer organização, independentemente de sua maturidade em cibersegurança, possa se beneficiar das informações que ele apresenta.

Segundo a diretora do NIST e subsecretária de Comércio para Padrões e Tecnologia, Laurie E. Locascio: 

“O CSF tem sido uma ferramenta vital para muitas organizações, ajudando-as a antecipar e lidar com ameaças de cibersegurança… O CSF 2.0, que se baseia em versões anteriores, não se resume a um único documento. Trata-se de um conjunto de recursos que pode ser personalizado e usado individualmente ou em combinação ao longo do tempo, à medida que as necessidades de cibersegurança de uma organização mudam e suas capacidades evoluem.” 

A evolução mais recente do NIST Cybersecurity Framework também vai além do foco em infraestrutura crítica e abrange todas as organizações (de todos os tamanhos) em qualquer setor.

Quando o NIST Cybersecurity Framework foi criado, o objetivo era promover um engajamento contínuo com partes interessadas no governo, na indústria e na academia. Para criar esse framework, o NIST realizou ações de divulgação e workshops em todo o país, além de uma Solicitação de Informações (RFI) e uma Solicitação de Comentários (RFC). O objetivo inicial era triplo:

• Identificar normas, diretrizes, frameworks e melhores práticas de cibersegurança existentes.

• Especificar lacunas de alta prioridade.

• Desenvolver planos de ação para abordar essas lacunas.

O período de comentários para a coleta de informações terminou em 8 de abril de 2013, e o NIST recebeu mais de 270 respostas à Solicitação de Informações. A partir dessas respostas, o NIST desenvolveu a pauta de seu primeiro workshop sobre o Cybersecurity Framework, realizado em Washington, DC, com o objetivo de despertar interesse, aumentar a conscientização e oferecer uma visão sobre o processo de desenvolvimento colaborativo. Os tópicos do workshop incluíram a Ordem Executiva, os objetivos do desenvolvimento e a reafirmação do processo que seria usado para desenvolver o framework.

O segundo workshop ocorreu entre 29 e 31 de maio de 2013 na Universidade Carnegie Mellon, com uma pauta baseada na análise da RFI inicial. Os objetivos eram definir e esclarecer ainda mais as informações recebidas e incentivar o debate sobre vários temas relacionados à segurança. Após a conclusão desse workshop, o NIST analisou as informações coletadas e criou resumos que foram compartilhados com os setores da indústria e usados para elaborar a versão preliminar inicial do Cybersecurity Framework.

A primeira versão preliminar do NIST Cybersecurity Framework foi lançada em 2 de julho de 2013.

Após o lançamento, o NIST realizou vários workshops voltados a discutir e refinar a versão inicial. Em 12 de fevereiro de 2014, a versão 1.0 do NIST Cybersecurity Framework foi lançada.

O NIST Cybersecurity Framework consiste em várias funções principais, que oferecem uma visão geral das melhores práticas. Essas funções não devem ser vistas como etapas procedimentais, mas sim usadas para abordar a natureza dinâmica dos riscos de cibersegurança.

Governar

Esta função fornece resultados que ajudam a orientar o que uma organização pode fazer para priorizar as demais funções no contexto de sua missão e das expectativas das partes interessadas.

Identificar

A função Identificar destaca a necessidade de desenvolver uma compreensão organizacional dos riscos de cibersegurança para sistemas, ativos, dados e capacidades. Esse elemento se concentra no negócio, para que ele possa priorizar seus esforços de forma consistente com sua estratégia de gerenciamento de riscos.

Proteger

Esta função apoia a capacidade de uma organização de proteger ativos e prevenir ou reduzir a probabilidade e o impacto causado por um evento de cibersegurança.

Detectar

Esta função permite a descoberta e a análise oportunas de anomalias, indicadores de comprometimento e outros eventos adversos que indiquem que um evento de cibersegurança ocorreu ou ocorrerá.

Responder

Essa função ajuda a conter quaisquer efeitos de um incidente de cibersegurança, abrangendo gerenciamento, análise, mitigação, reporte e comunicação de incidentes.

Recuperar

Essa função se concentra na restauração oportuna das operações normais do negócio, a fim de reduzir os efeitos de um incidente de cibersegurança, além de permitir a comunicação necessária (e adequada) durante a recuperação.

O objetivo final dessas funções é oferecer uma visão estratégica e de alto nível de como uma organização se prepara, reage e se recupera de eventos de cibersegurança.

Com uma compreensão sólida do que o Framework de Cibersegurança do NIST faz e de como ele evoluiu, você provavelmente está se perguntando qual é a melhor forma de implementá-lo. 

O NIST recomenda uma abordagem de implementação em 7 etapas, que é assim:

1. Priorize e defina o escopo - Priorize os objetivos e ativos da sua organização que precisam ser protegidos.

2. Oriente-se - Familiarize você e sua equipe com os processos, sistemas e componentes dentro do escopo, bem como com as principais regulamentações de conformidade às quais eles devem obedecer.

3. Crie um perfil atual - Indique quais resultados de controle do framework já estão sendo alcançados na sua organização e, em seguida, crie uma lista do que ainda precisa ser integrado.

4. Realize uma avaliação de riscos - Analise seu ambiente operacional para determinar a probabilidade de eventos de cibersegurança, bem como o impacto que eles poderiam causar.

5. Crie um perfil-alvo - Concentre-se na avaliação das Categorias e Subcategorias do Framework de Cibersegurança para ajudar a descrever os resultados de cibersegurança desejados.

6. Identifique, analise e priorize lacunas - Identifique quaisquer lacunas de cibersegurança existentes na sua organização. A partir dessa análise, você pode criar um plano priorizado para atender a essas necessidades.

7. Implemente seu plano de ação - Entre em ação e implemente o plano que você criou para resolver todos os problemas descobertos nas etapas anteriores.

Um ponto a ter em mente é que o framework não é inflexível. Na verdade, ele oferece flexibilidade suficiente para se integrar aos seus processos de segurança existentes. Você deve ver como isso funciona nas sete etapas listadas acima.

Pela forma como o NIST apresenta as sete etapas para implementar o framework, as organizações obtêm uma visão abrangente dos riscos aos quais estão suscetíveis, de como planejar com base nesses riscos, de como melhorar a comunicação em toda a organização e fortalecer a conformidade. O aprendizado sobre as fraquezas de uma organização e como mitigá-las é um dos principais benefícios do Framework do NIST.

De acordo com a Comissão Federal de Comércio dos EUA, o Framework do NIST “ajuda empresas de todos os tamanhos a entender, gerenciar e reduzir melhor seus riscos de cibersegurança e proteger suas redes e dados”.

O NIST entende que cada organização é diferente e até oferece 3 dicas para manter suas senhas seguras (que devem ser consideradas universais).

O Framework de Cibersegurança do NIST pode ser complexo. É importante compreender plenamente as funções principais antes de avançar para as sete etapas listadas acima. Para garantir sucesso duradouro, é fundamental incentivar uma cultura de cibersegurança dentro da sua organização; caso contrário, você encontrará resistência ao que pode ser uma mudança drástica em processos e sistemas.

Outros desafios incluem:

• Restrições de recursos — talvez você ainda não tenha uma equipe capaz de implementar essas mudanças.

• Você provavelmente terá que dedicar tempo para personalizar o Framework de Cibersegurança para que ele se ajuste melhor à sua organização.

• As ameaças estão sempre evoluindo, o que significa que suas práticas de segurança terão que acompanhar essa evolução.

• Você deve integrar o Cybersecurity Framework a todos os processos existentes que já tiver em vigor.

• Pode ser desafiador incentivar o engajamento das partes interessadas, o que está diretamente relacionado a promover uma cultura de cibersegurança capaz de atender a essas demandas.

Há quatro níveis de implementação do NIST, que são:

• Nível 1Parcial - Empresas com procedimentos de segurança sob demanda ou inexistentes.

• Nível 2Informado por riscos - Empresas que estão cientes das ameaças que enfrentam e contam com algumas políticas, mas não têm uma estratégia coordenada.

• Nível 3Repetível - Empresas com práticas recomendadas de gerenciamento de riscos e cibersegurança que receberam aprovação da liderança executiva. Essas empresas costumam se comparar com concorrentes e até trabalhar com outras organizações para garantir que suas práticas estejam alinhadas.

• Nível 4Adaptativo - Empresas de setores altamente regulamentados (como bancos e saúde) que contribuem rotineiramente para uma ampla conscientização sobre riscos.

Segundo o NIST, o Perfil do Cybersecurity Framework “é o alinhamento das Funções, Categorias e Subcategorias com os requisitos de negócios, a tolerância a riscos e os recursos da organização”. Esses perfis ajudam as organizações a estabelecer um roteiro para reduzir os riscos de cibersegurança. 

O NIST oferece um Modelo de Perfil Organizacional do Cybersecurity Framework personalizável, além de uma lista de perfis da comunidade que podem ser usados.

Lembre-se de que o Cybersecurity Framework do NIST foi criado para ser um documento vivo, que depende de atualizações regulares para refletir o cenário em constante mudança da cibersegurança e das ameaças emergentes. Por isso, é fundamental que as organizações se mantenham atualizadas sobre as ameaças mais recentes, para que o Cybersecurity Framework possa evoluir para atender às necessidades atuais e melhorar continuamente. 

Para garantir que sua organização seja capaz de evoluir junto com o Cybersecurity Framework do NIST, considere como criar a melhor pilha de tecnologias de cibersegurança para sua empresa, como forma de garantir que você consiga aproveitar as melhores tecnologias capazes de evoluir junto com o Cybersecurity Framework.

Não é preciso dizer que a segurança se tornou uma das áreas de foco mais importantes para as organizações. Sem práticas robustas de gerenciamento de riscos de cibersegurança, as empresas podem ser vítimas de inúmeras ameaças existentes. Com a ajuda do Cybersecurity Framework do NIST, aliada a planejamento e comunicação cuidadosos, a segurança da sua organização pode melhorar significativamente. Aborde o Cybersecurity Framework do NIST de forma completa, siga os 7 passos e esteja sempre pronto para se atualizar e evoluir, para que sua organização fique mais bem protegida contra riscos de cibersegurança.

Pronto para começar hoje? Considere adotar uma solução de gerenciamento de senhas para iniciar sua organização com o pé direito. Confira os planos Bitwarden Business, entre em contato com vendas e compare os preços dos planos.