O que são os padrões de segurança do NIST?

Publicados: 2021-01-07

As empresas hoje se perguntam: “Quais são os padrões de segurança do NIST e como eles podem ser aplicáveis ​​a eles?”

Isso não deve ser uma grande surpresa - atualmente estamos passando por uma mudança dramática nas atitudes em relação à ameaça do crime cibernético e há um crescente reconhecimento entre as organizações de que os padrões de segurança em segurança de rede não são apenas um aspecto importante de uma empresa moderna, mas realmente vitais à sua sobrevivência.

Antes da pandemia, as empresas por sua própria admissão não estavam preparadas para ataques cibernéticos, com apenas 23% das organizações indicando que tinham um plano de resposta a incidentes aplicado em seus negócios, segundo a IBM.

Muitas empresas simplesmente não estão prontas para o número e a gravidade dos ataques cibernéticos modernos, e isso não é pouca coisa – 93% das empresas sem um plano de recuperação de desastres que sofrem um grande desastre de dados fecham as portas em um ano.

Por causa da pandemia e das mudanças que ela trouxe, os ataques cibernéticos estão atualmente em níveis mais altos do que nunca, e as empresas devem responder para proteger a si mesmas e seus clientes.

É aí que entram estruturas como o NIST – as empresas estão procurando orientação sobre sua segurança cibernética e esperam que padrões como o NIST possam fornecê-la.

Neste blog, vamos dar uma olhada em quais são os padrões de segurança do NIST, decompô-los e determinar como é aplicável a organizações em todo o país que desejam reforçar a segurança de seus negócios.

Ataques cibernéticos crescentes estão custando às empresas | O que são os padrões de segurança do NIST?

O que é NIST?

O National Bureau of Standards, como era conhecido até 1988, foi fundado em 1901 como uma agência não reguladora para fornecer padrões em vários setores, incluindo manufatura, ciência ambiental, segurança pública, nanotecnologia, tecnologia da informação e muito mais.

Ao longo dos anos desde sua fundação, o mandato do NIST se estendeu a um número crescente de indústrias, das quais a segurança cibernética (sob TI) é apenas uma.

As estruturas do NIST, incluindo sua estrutura de segurança cibernética, destinam-se a ser diretrizes voluntárias para todas as organizações, exceto aquelas envolvidas com contratos governamentais, que são obrigadas a cumpri-las.

O que é o NIST Cybersecurity Framework (CSF)?

O NIST Cybersecurity Framework, ou CSF abreviado, foi estabelecido por ordem executiva em 2013 sob o presidente Obama, a fim de criar um consenso de estrutura para abordar a segurança cibernética com a intenção de reduzir o risco para sistemas críticos de infraestrutura pública e governamentais.

A primeira versão do CSF ​​foi publicada em 2014, e o Congresso aprovou a Lei de Aprimoramento de Segurança Cibernética de 2014 logo em seguida com o seguinte propósito declarado:

UMA LEI Proporcionar uma parceria público-privada contínua e voluntária para melhorar a segurança cibernética e fortalecer a pesquisa e o desenvolvimento de segurança cibernética, o desenvolvimento e a educação da força de trabalho e a conscientização e preparação do público, e para outros fins.

Outra ordem executiva foi emitida pelo presidente Trump em 2017, orientando todas as agências federais a usar a estrutura.

Em 2015, estima-se que 30% das empresas dos EUA usaram o CSF, com um aumento adicional para 50% em 2020. O sucesso da estrutura levou à adoção não apenas nos Estados Unidos, mas em todo o mundo, desde os Estados Unidos Reino para Israel.

Resumo da estrutura NIST

Então, quais são os padrões de segurança do NIST?

O NIST Cybersecurity Framework é dividido em três componentes distintos: o “Core”, “Implementation Tiers” e “Profiles”.

Essencial

O Framework Core é o conjunto de atividades projetadas para alcançar os melhores resultados de segurança cibernética desejados pelos padrões do NIST.

Essas atividades não são uma lista de verificação, mas sim os principais resultados identificados pelas partes interessadas como significativos no gerenciamento de riscos de segurança cibernética.

O que são os padrões de segurança Elements NIST?

Existem quatro elementos-chave que compõem o Framework Core. Estes são:

  • Funções: As funções são alguns dos aspectos mais reconhecíveis da estrutura de segurança cibernética do NIST. Eles descrevem as atividades básicas de segurança de uma perspectiva de alto nível e ajudam as organizações a abordar os elementos mais cruciais da segurança cibernética. As funções incluem Identificar, Proteger, Detectar, Responder e Recuperar.
  • Categorias: As Categorias são focadas em resultados de negócios e são um pouco mais aprofundadas, abrangendo objetivos dentro das funções principais.
  • Subcategorias: As subcategorias são o nível mais granular de abstração no Core. Há um total de 108 subcategorias, que normalmente são orientadas a resultados e projetadas para fornecer considerações para estabelecer ou melhorar um programa de segurança cibernética.
  • Referências informativas: As referências informativas referem-se a padrões, diretrizes e práticas existentes relevantes para cada subcategoria.

Os cinco componentes da estrutura do NIST | O que são os padrões de segurança do NIST?

Categorias NIST das cinco principais funções da estrutura de segurança cibernética

Como observamos, cada uma das funções-chave é dividida em categorias NIST e subcategorias NIST.

As categorias NIST são as seguintes:

Identificar

  • Gestão de ativos
  • Ambiente de negócios
  • Governança
  • Avaliação de risco
  • Estratégia de Gestão de Risco
  • Gestão de Riscos da Cadeia de Suprimentos

Post relacionado: O que acontece durante uma auditoria de risco de segurança cibernética?

Proteger

  • Gerenciamento de identidade e controle de acesso
  • Conscientização e Treinamento
  • Segurança de dados
  • Processos e Procedimentos de Proteção da Informação
  • Manutenção
  • Tecnologia de Proteção

Detectar

  • Anomalias e Eventos
  • Monitoramento Contínuo de Segurança
  • Processos de detecção

Responder

  • Planejamento de resposta
  • Comunicações
  • Análise
  • Mitigação
  • Melhorias

Recuperar

  • Planejamento de recuperação
  • Melhorias
  • Comunicações

Camadas

Os Níveis de Implementação da Estrutura devem ajudar a ilustrar até que ponto uma organização é capaz de atender efetivamente às características descritas nas Funções e Categorias da Estrutura.

Esses níveis de implementação não são considerados níveis de maturidade de segurança cibernética e não se destinam a ser.

No entanto, as organizações que atendem aos padrões dos níveis mais altos inevitavelmente terão muitas das características que definem as empresas cibernéticas.

Nível 1 (Parcial)

Processo de gerenciamento de risco: As práticas de gerenciamento de risco não são formalizadas e o risco é gerenciado de forma ad hoc.

Programa de Gestão Integrada de Riscos: Consciência limitada do risco de segurança cibernética no nível organizacional.

Participação Externa: A organização não colabora com outras entidades ou entende seu papel no ecossistema maior.

Nível 2 (Informado sobre o Risco)

Processo de Gestão de Riscos: As práticas de gestão de riscos são aprovadas pela administração e priorizadas de acordo com os objetivos de riscos organizacionais.

Programa de Gestão Integrada de Riscos: Conscientização do risco de segurança cibernética no nível organizacional, mas sem uma abordagem em toda a empresa para gerenciar esse risco.

Participação Externa: A organização reconhece seu papel no ecossistema de negócios em relação às suas dependências ou dependentes, mas não a ambos. Alguma colaboração, mas pode não atuar de forma consistente ou formal sobre os riscos apresentados.

Nível 3 (repetível)

Processo de Gestão de Riscos: As práticas de gestão de riscos são formalmente aprovadas e expressas por meio de política. As práticas de cibersegurança são atualizadas regularmente com base na aplicação do processo formal de gestão de riscos.

Programa Integrado de Gerenciamento de Riscos: Abordagem de toda a organização para gerenciamento de riscos de segurança em vigor, e os funcionários possuem o conhecimento e as habilidades para gerenciar os riscos de segurança.

Participação Externa: O papel da organização no ecossistema maior é entendido no que se refere a outras empresas e pode contribuir para uma compreensão mais ampla dos riscos pela comunidade. Colabora e recebe informações de outras pessoas regularmente.

Camada 4 (Adaptável)

Processo de Gestão de Riscos: As práticas de cibersegurança são adaptadas e desenvolvidas com base em atividades anteriores e atuais, bem como em indicadores preditivos. Espera-se a melhoria contínua dos processos através da incorporação de tecnologias e práticas avançadas.

Programa de Gestão Integrada de Riscos: A relação entre risco de segurança e objetivos organizacionais é claramente compreendida. O gerenciamento de riscos de segurança faz parte da cultura organizacional e as mudanças na forma como o gerenciamento de riscos é abordado são comunicadas de forma rápida e eficaz.

Participação Externa: A organização compreende plenamente seu papel no ecossistema maior e contribui para a compreensão da comunidade sobre os riscos. Recebe, gera e prioriza informações que informam a análise constante de riscos. A análise de dados em tempo real é aproveitada e a comunicação é proativa no que diz respeito aos riscos associados aos produtos e serviços usados.

Perfil

O Perfil da Estrutura refere-se ao alinhamento geral de Funções, Categorias e Subcategorias com os requisitos de negócios da organização, tolerância a riscos e recursos.

Como empresas diferentes têm prioridades diferentes, não há dois perfis iguais e, portanto, determinar o perfil de estrutura exclusivo que melhor se adapta à empresa é o aspecto chave final dos padrões do NIST.

Perfil atual x perfil de destino

Quando as empresas estabelecem perfis para padrões de segurança cibernética, uma maneira comum e eficaz de entender onde estão e onde desejam estar é criar dois perfis: o perfil atual e o perfil de destino.

O perfil atual é criado avaliando a capacidade da organização de realizar atividades de subcategoria.

Exemplos de subcategorias incluem coisas como “Dispositivos físicos e sistemas dentro da organização são inventariados” (ID.AM-1) e “Dados em trânsito são protegidos” (PR.DS-2)”.

Estes são apenas dois exemplos do total de 108 subcategorias, mas dão uma indicação dos tipos de atividades que são avaliadas.

Uma vez estabelecido o perfil atual, classificando a capacidade da empresa de atender a cada subcategoria, é hora de criar o perfil-alvo.

O perfil de destino é efetivamente onde a empresa deve estar com sua segurança cibernética para atender às metas e prioridades de gerenciamento de risco desejadas.

Uma vez que o perfil de destino tenha sido criado, a organização pode comparar os dois e obter uma compreensão clara de onde o negócio atende às suas metas de gerenciamento de risco e onde as melhorias precisam ser feitas.

Essa é uma das maneiras mais eficazes de entender completamente quais são os padrões de segurança do NIST e como eles são diretamente aplicáveis ​​a uma organização em termos de melhoria de seus protocolos e conformidade com as recomendações CSF do NIST.

Quem usa o NIST Cybersecurity Framework?

Como observamos, o NIST foi projetado em primeiro lugar como uma estrutura voltada para as empresas da cadeia de suprimentos federal, sejam contratantes principais, subcontratados ou outra entidade obrigada a estar em conformidade com o NIST.

Os padrões do NIST, no entanto, são aplicáveis ​​a praticamente qualquer negócio e uma fonte extremamente valiosa para determinar as atividades atuais de segurança cibernética de uma empresa e sua capacidade de executá-las em um padrão aceitável, além de descobrir prioridades novas e desconhecidas.

O objetivo final do NIST é fornecer uma estrutura não apenas para organizações associadas ao governo federal, mas também para o mundo dos negócios em geral.

Para esse fim, o NIST planeja atualizar continuamente a estrutura de segurança cibernética para mantê-la atualizada e aplicável a qualquer pessoa, independentemente de precisar especificamente da conformidade com o NIST CSF ou não.

E agora?

Esperamos que esta postagem no blog tenha ajudado você a entender o que são os padrões de segurança do NIST e como eles são usados ​​nas organizações.

Embora a conformidade do NIST CSF não seja necessária para organizações não contratadas pelo governo ou subcontratadas por um contratado do governo, muitas de suas atividades e protocolos se aplicam a muitos outros regulamentos de conformidade que devem ser seguidos, como HIPAA, PCI, PII.

Para conformidade com esses regulamentos (e muitos outros), sugere-se o uso de uma solução de risco e conformidade de governança (GRC) para que as atividades possam ser monitoradas e mantidas com precisão.

Na Impact, oferecemos essa solução, com opções de gerenciamento híbrido ou completo de GRC de nossos especialistas, que realizarão uma avaliação de risco e garantirão que suas políticas de segurança cibernética estejam exatamente onde precisam estar para permanecer em conformidade.

Para obter mais informações, dê uma olhada em nossa página de Serviços de Conformidade e conecte-se com um especialista para ver como a Impact pode manter a conformidade da sua organização no caminho certo hoje.