São Paulo/SP – 17 de março de 2023 – O NIST Cybersecurity framework é um dos mais utilizados no mundo fornecendo uma estrutura, com base em normas, diretrizes e práticas existentes para gerenciar e reduzir o risco de segurança cibernética.
*Julliana Nunes
Qual seu objetivo?
O NIST Cybersecurity framework é um dos mais utilizados no mundo fornecendo uma estrutura, com base em normas, diretrizes e práticas existentes, para gerenciar e reduzir o risco de segurança cibernética. Uma organização pode usar o framework para identificar, avaliar e gerenciar o risco de segurança cibernética, ajudando a prevenir, detectar e responder a ameaças e ataques cibernéticos.
Estrutura
A estrutura apresenta normas, diretrizes e práticas existentes de maneira a permitir a comunicação das atividades e dos resultados da segurança cibernética em toda organização, desde o nível executivo até o nível de implementação/operacional. Consiste em 5 (cinco) funções simultâneas e contínuas para fornecer uma visão estratégica de alto nível do ciclo de vida do gerenciamento do risco de segurança de uma organização, sendo Identificar, Proteger, Detectar, Responder e Recuperar.
Cada função possui categorias e subcategorias que são relacionadas com exemplos de Referências Informativas como normas, diretrizes e práticas existentes, por exemplo: ISO 27001:2013, COBIT 5 e ISA 62443-2-1:2009.
Categoria
Cada Função possui um grupo de categorias relacionadas às necessidades programáticas e atividades específicas como “Gerenciamento de ativos”, “Gerenciamento de riscos” e “Gestão de Riscos da Cadeia de Suprimentos”.
Subcategorias
Cada Categoria possui atividades técnicas e/ou de gestão específicas, como no caso da categoria “Gerenciamento de ativos”, tendo como Subcategoria: Dispositivos físicos e sistemas dentro da organização são inventariados.
Camadas de Implementação
As Camadas de Implementação apresentam como a organização lida com o risco de segurança cibernética e os processos envolvidos para gerenciar esse risco. Existem 4 (quatro) camadas de implementação. Quanto mais alta a camada mais próximo o programa de gerenciamento de riscos de segurança cibernética da organização está das características definidas na estrutura. Sendo:
- Nível 1: Parcial (Tier 1: Partial)
- Nível 2: Risco informado (Tier 2: Risk Informed)
- Nível 3: Repetível (Tier 3: Repeatable)
- Nível 4: Adaptável (Tier 4: Adaptative)
Perfil de Estrutura
Um Perfil de Estrutura representa os resultados com base nas necessidades de negócio. Este mecanismo é utilizado para identificar oportunidades de melhoria da segurança cibernética comparando um Perfil Atual com um Perfil Alvo. O Perfil Atual pode ser usado para apoiar a priorização e medição do progresso em direção ao Perfil Desejado.
Benefícios do Framework para sua organização
- É adaptável para fornecer uma implementação flexível e baseada em risco que possa ser usada com uma ampla gama de processos de gerenciamento de risco de segurança cibernética;
- Fornece uma linguagem comum para comunicar os requisitos entre as partes interessadas responsáveis pela entrega de produtos e serviços essenciais de infraestrutura crítica;
- Utilização de Referências Informativas, utilizando normas, diretrizes e práticas comuns entre os setores de infraestrutura, ilustrando métodos para alcançar os resultados associados a cada Subcategoria. Portanto, frameworks como ISO 27001 e COBIT 5 também são agregados para melhor resultado de gerenciamento de riscos de segurança cibernética;
- Possibilita maior proteção das informações e operações críticas;
- Aumento da resiliência dos processos de negócio;
- Aumento da confiança dos clientes, fornecedores e stakeholders, demonstrando que seu investimento na organização é seguro e está́ protegido contra eventos adversos.
*Juliana Nunes é GRC and Information Security Senior Consultant | [SAFEWAY]
COMO PODEMOS AJUDAR?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa a determinar e elevar o nível de maturidade em segurança cibernética utilizando os controles e camadas de implementação determinados pelo Framework NIST. Caso deseje mais informações, entre em contato com um de nossos especialistas!