O que é o NIST Cybersecurity Framework 2.0 e como pode ajudar a proteger seu negócio na era digital

Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin

No mundo atual, onde os negócios estão bastante apoiados nos sistemas digitais, a segurança cibernética deixou de ser uma preocupação apenas dos times de tecnologia das empresas, para se tornar um ponto de atenção da empresa como um todo. Ter informações ou sistemas violados geram enormes impactos para os negócios, a imagem e a reputação das empresas, podendo até mesmo causar prejuízos a seus clientes. Não são poucos os casos de ataques cibernéticos que já foram divulgados nas mídias, e ainda maior é o número de casos que não se tornaram públicos, apesar de todos os esforços realizados pelas empresas para manter seus ambientes seguros. Isso porque a elaboração de uma estratégia de cibersegurança é uma tarefa complexa que necessita considerar uma série de fatores, como:

  • Dados são o tesouro do mundo digital

Essa é uma afirmação já antiga, e que vai se tornando cada vez mais verdadeira à medida em que os negócios vão se baseando em plataformas digitais. A elevação do valor dos dados, naturalmente faz com que o número de tentativas de roubo se intensifique, e que os níveis de sofisticação de ataques se elevem diariamente para burlar as regras e tecnologias que são desenvolvidas para conte-los. Agora, nem todo dado tem o mesmo valor e a mesma importância para a empresa, logo o ideal seria separar o joio do trigo, e empregar estratégias de proteção e disponibilidade de acordo com o grau de importância do dado para o negócio. Apesar da lógica do raciocínio fazer sentido, essa é uma tarefa que está longe de ser simples de ser realizada no dia a dia das empresas.

  • A área que a empresa precisa proteger expande a cada dia

No passado não tão distante, as equipes de segurança de TI precisavam se preocupar em assegurar que o perímetro de seus data centers estivesse protegido contra acessos maliciosos. Mas esse cenário se alterou e muito na última década, em função da evolução das clouds públicas, da crescente adoção dos ambientes de co-location, e da mobilidade dos usuários. Cada um desses itens contribui de forma significativa na expansão do perímetro que a empresa necessita proteger. Além da expansão do perímetro, muitas aplicações de negócios modernas possuem elementos rodando em diversos ambientes diferentes (o front-end roda na cloud A, o banco de dados na cloud B, e o back-end em servidores no on-premises, por exemplo). Isso significa que, primeiro, é importante entender as arquiteturas das aplicações para entender as relações de dependência das aplicações, e em segundo, é necessário se definir uma estratégia de segurança que atenda a aplicação de uma forma uniforme, independentemente do ambiente onde cada parte dela resida.

  • O mundo digital, no fim do dia, está todo apoiado em códigos de sistemas

Nesse sentido, a questão primordial é entender o quanto esses códigos nos protegem ou nos expõem. Sendo muito realistas, não temos muito controle nem um conhecimento profundo sobre o que está por trás dos códigos. Já foram noticiados casos em que hackers injetaram códigos maliciosos em programas que, em tese, passam por rígidos controles de qualidade. Em muitos casos os hackers se aproveitam de vulnerabilidades dos códigos de softwares como portas de entradas, por isso da constante preocupação das empresas pedirem a seus usuários que mantenham seus códigos atualizados. Se isso já é complicado no âmbito de pessoas físicas, quem dirá no âmbito empresarial em que temos centenas, milhares de sistemas e usuários.

  • A multiplicidade e diversidade dos acessos pelos usuários

Em muitos casos, os usuários fazem acessos aos sistemas corporativos a partir de múltiplos dispositivos diferentes. Estação de trabalho, notebook, celular, tablet, celular pessoal, notebook pessoal. Se por um lado a flexibilidade do uso de diversos dispositivos traz mais agilidade, por outro, ela amplia os pontos de vulnerabilidade de segurança. Cada novo dispositivo representa um novo ponto de ataque que precisa ser tratado. Mas além da questão do dispositivo está o entendimento do usuário sobre o seu papel na estratégia de cibersegurança da empresa. É pouco efetivo ter um plano que trate das questões relacionadas a tecnologia, se o usuário clica em links que chegam em seu email sem a devida atenção, ou se ele faz uso de redes wi-fi abertas e “gratuitas” quando está no aeroporto ou no café.

  • Aquilo que vemos na web pública é uma parte pequena do mundo total da web

Se o volume de informações e ameaças é grande no ambiente de domínio público da web, ele é ainda maior e mais obscuro nos mundos da dark web e da deep web. Que tipo de informações sobre a empresa ou sobre seus principais stakeholders da empresa circulam nesse submundo? Como essas informações são obtidas e utilizadas? A empresa precisa ter essa preocupação? Em tese sim, pois sabemos que no fim do dia, é justamente nesse submundo onde ocorre o maior volume de tráfico de informações.

  • As disciplinas e tecnologias envolvidas no cenário de cibersegurança são inúmeras

Aqui estamos falando, de acordo com o relatório CYBER SCAPE da Momentum em 27 diferentes disciplinas, com centenas de empresas, isso sem considerar as disciplinas de Storage e Backup, que hoje são parte fundamentais dos planos de cibersegurança. Entender as múltiplas disciplinas e as múltiplas soluções que cada fabricante possui, não é tarefa simples, nem tampouco fácil.

Diante desse cenário, a grande questão que fica é: como criar um plano de cibersegurança que esteja alinhado com as estratégias e realidades da empresa, e que seja capaz de mitigar ao máximo os riscos de ataques e que garanta uma recuperação efetiva e rápida, nos casos em que os mecanismos de mitigação não forem suficientes para bloquear um ataque?

Infelizmente não existe uma resposta definitiva para essa questão, mas existem metodologias, como por exemplo o CyberSecurity Framework do NIST, que podem ajudar as empresas na estruturação de um plano para essa difícil missão – se você quer conhecer o NIST CSF com mais de profundidade, vale a pena explorar o site https://www.nist.gov/cyberframework.

No caso da Columbia Integração, adotamos o NIST CSF como o framework para ajudarmos nossos clientes na elaboração e execução de suas estratégias de cibersegurança, por ele ser um framework muito reconhecido no mercado, pela sua abrangência, adaptabilidade e completude. O NIST CSF 2.0 é um conjunto de diretrizes desenvolvidas pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos para auxiliar as organizações na gestão e na redução de seus riscos cibernéticos. Ele é baseado em padrões, diretrizes e práticas existentes, e é flexível e escalável, podendo ser adaptado às necessidades de organizações de todos os tamanhos e setores.

A primeira versão do framework, CSF 1.0, foi publicada em Fevereiro de 2014, em resposta a Ordem Executiva 13636 : “Improving Critical Infrastructure Cybersecurity, publicada no ano anterior. Esta Ordem Executiva estabelecia a necessidade da criação de um framework de cibersegurança que ajudasse a proteger as infraestruturas críticas dos EUA, a partir da colaboração entre órgãos do governo, empresas privadas e entidades acadêmicas. Em 2018, o framework sofreu sua primeira revisão, sendo publicada a versão CSF 1.1, que deixou o framework mais útil e inclusivo para todos os tipos de organizações. Em fevereiro de 2024, foi publicada a versão mais recente do framework, a versão 2.0, sobre a qual falaremos com mais detalhes ao longo do texto.

De forma bastante resumida, o framework do NIST CSF 2.0 tem em seu core, 6 pilares, conforme a figura:

Abaixo faremos o resumo de cada um dos pilares.

GOVERN: O pilar GOVERN é aquele onde a estratégia de gestão de risco de cibersegurança, as expectativas e as políticas são estabelecidas, comunicadas e monitoradas. Neste pilar são endereçados temas como:

  • Entendimento e mapeamento de necessidades específicas de cibersegurança
  • Desenvolvimento de uma estratégia customizada de risco de cibersegurança.
  • Estabelecimento de políticas de gestão de risco
  • Desenvolvimento e comunicação de práticas de cibersegurança organizacionais
  • Estabelecimento e monitoração de gestão de cibersegurança da cadeia de suprimentos
  • Implementação de mecanismos de supervisão e checkpoints contínuos.

IDENTIFY: No pilar IDENTIFY, os riscos atuais de cibersegurança da organização são compreendidos, e são endereçados os seguintes pontos:

  • Identificação dos processos críticos de negócios e dos ativos que os compõem
  • Manutenção de inventários de hardware, software, serviços e sistemas
  • Documentação de fluxos de informações
  • Identificação de ameaças, vulnerabilidades e riscos aos ativos
  • Lições aprendidas são utilizadas para identificação de melhorias

PROTECT: No pilar PROTECT, é onde estabelecemos os mecanismos de salvaguarda para gerenciar os riscos de segurança cibernética da organização.  Aqui são endereçados os seguintes temas:

  • Gestão de acesso
  • Treinamento de usuários
  • Proteção e monitoração de dispositivos
  • Proteção de dados sensíveis
  • Gestão e manutenção de software
  • Estabelecimento de políticas de backups

DETECT: No pilar DETECT, definimos mecanismos de detecção e análise de possíveis ataques e comprometimentos á segurança. De forma geral endereçamos as seguintes atividades:

  • Monitoração contínua de redes, sistemas e ambientes físicos para detecção de eventos potencialmente adversos
  • Determinação e análise de impactos e escopo dos eventos adversos
  • Compartilhamento de informações sobre os eventos adversos com pessoas e ferramentas autorizadas

RESPOND: No pilar RESPOND, as ações relacionadas ao tratamento de incidentes de cibersegurança são executadas. Dentre as atividades contidas neste pilar, temos:

  • Execução do plano de resposta de incidente, uma vez que o incidente seja declarado
  • Categorização e priorização de incidentes, e escalação ou elevação conforme necessário
  • Coleta de dados do incidente e preservação de sua integridade e proveniência
  • Notificação para stakeholders internos e externos sobre os incidentes e compartilhamento de informações, de acordo com as políticas estabelecida pela empresa
  • Contenção e erradicação dos incidentes

RECOVER: No pilar RECOVER, os ativos e operações afetadas pelo incidente de cibersegurança são restaurados.

  • Entendimento de papéis e responsabilidades na recuperação
  • Execução do plano de recuperação
  • Dupla verificação dos dados recuperados
  • Comunicação com stakeholders internos e externos.

Além da estrutura CORE do framework, o NIST CSF 2.0 possui outros dois componentes, o CSF ORGANIZATIONAL PROFILES e o CSF TIERS.

O CSF ORGANIZATIONAL PROFILES descreve a postura atual e desejada de cibersegurança da empresa, em termos dos entregáveis do CSF CORE. A parte interessante do framework, é que ele considera uma total customização do plano, em função do contexto específico da empresa, seu segmento, seus objetivos e expectativas. Também muito relevante, é o fato de que o framework considera uma revisão contínua do plano, uma vez que ele leva em consideração as possibilidades de mudanças da empresa e de todo ambiente de cibersegurança ao longo do tempo. E por último, temos o CSF TIERS, que pode ser utilizado pelas empresas para informar seu perfil atual e desejado. Os TIERS caracterizam o rigor de uma organização em relação a governança de risco e práticas de gestão de cibersegurança. A classificação dos TIERS é a seguinte:

  • TIER 1 – Partial: A aplicação da estratégia de riscos de cibersegurança é realizada de forma pontual, quando necessário, e não é formalmente baseada em objetivos ou ambientes de ameaças.
  • TIER 2 – Risk Informed: As práticas de gestão de risco são aprovadas pela gestão, mas podem não estar estabelecidas como uma política organizacional. A priorização das atividades de cibersegurança e proteção é determinada considerando-se os requisitos de negócios, objetivos de riscos da empresa, ou ambiente de ameaças.
  • TIER 3 – Repeatable: As práticas de gestão de risco da empresa são formalmente aprovadas e expressas como políticas da empresa. As políticas de risco, os processos e os procedimentos são definidos, implementados e revisados. As práticas de cibersegurança são atualizadas regularmente, baseado na aplicação dos processos de gestão de riscos nos requisitos de negócios, ameaças e ambiente tecnológico.
  • TIER 4 – Adptative: Existe uma abordagem organizacional ampla na gestão de riscos de cibersegurança, que utiliza políticas, processos e procedimentos para endereçar potenciais eventos de cibersegurança. A relação entre os riscos de cibersegurança e os objetivos organizacionais são claramente compreendidos e considerados nas tomadas de decisão. Os executivos monitoram os riscos de cibersegurança da mesma forma como monitoram riscos financeiros ou qualquer outro tipo de risco ao qual a empresa esteja exposta. O orçamento da empresa é baseado no entendimento do ambiente de risco atual e previsto, e da tolerância de risco. A gestão de riscos de cibersegurança é parte da cultura organizacional da empresa.

Como podemos observar, o NIST CSF 2.0 traz um guia bastante útil para as empresas utilizarem nas formulações de suas estratégias de cibersegurança, para ampliar a segurança e a resiliência de seu ambiente de negócios digital. A Columbia Integração possui um extenso portfólio de serviços, soluções e parceiros que podem ajudar a sua empresa na elaboração e execução de sua jornada de cibersegurança.

Quer saber um pouco mais? Entre em contato conosco.

Fale com um especialista

Fale com um especialista