O Framework de Cibersegurança do National Institute of Standards and Technology (NIST) oferece um conjunto abrangente de diretrizes voltadas para gerenciar os riscos de segurança em organizações. Apesar de ser voluntário, o framework é uma referência poderosa para construir sistemas robustos que ajudam a mitigar ameaças digitais, proteger a integridade da rede e os ativos de dados. Recentemente, foi lançada uma nova versão, o NIST 2.0. O que esse framework pode oferecer? E quais são as principais diferenças entre a nova versão e a anterior?
Compreendendo o Framework de Cibersegurança NIST: Um Padrão Global para Segurança Digital
O Framework de Cibersegurança do NIST, criado nos Estados Unidos e lançado em 12 de fevereiro de 2014, ultrapassa fronteiras geográficas devido à sua aplicação universal. Ele está em constante evolução e se beneficia do feedback de diversas partes interessadas, como empresas, órgãos governamentais e instituições acadêmicas, garantindo seu aprimoramento contínuo e relevância.
O framework é uma ferramenta valiosa de prevenção, sendo fundamental para reduzir os riscos de ataques cibernéticos à sua empresa. Isso pode economizar recursos valiosos e evitar prejuízos financeiros, impedindo ataques antes que aconteçam. É compreensível ter certa resistência em seguir mais um conjunto de medidas e regras, especialmente quando são voluntárias, mas é importante considerar os benefícios a longo prazo.
Apresentando o NIST 2.0: Governança Aprimorada e Gerenciamento de Riscos na Cadeia de Suprimentos
Em 2024, a nova versão do framework NIST foi lançada. Uma adição importante na versão 2.0 é a nova função “Governar”, que enfatiza a relevância da governança em cibersegurança, tratando-a como um risco empresarial tão crítico quanto finanças e reputação.
Essa função consolida responsabilidades e papéis que antes estavam dispersos, simplificando a estrutura do framework. Agora, o número total de funções principais é seis: Identificar, Proteger, Detectar, Responder, Recuperar e Governar. Além disso, as funções Responder e Recuperar receberam maior atenção para cobrir lacunas existentes. Com o aumento dos ataques à cadeia de suprimentos desde o lançamento inicial em 2014, o NIST também fortaleceu o foco no Gerenciamento de Riscos de Cibersegurança na Cadeia de Suprimentos (SCRM) nesta versão mais recente.
O e-book oficial do Framework de Cibersegurança NIST 2.0 explica as seis funções principais:
- Governar = A estratégia, expectativas e políticas de gerenciamento de riscos de cibersegurança da organização são estabelecidas, comunicadas e monitoradas.
- Identificar = Os riscos atuais de cibersegurança da organização são compreendidos.
- Proteger = Medidas de proteção são aplicadas para gerenciar os riscos de cibersegurança.
- Detectar = Possíveis ataques e comprometimentos são identificados e analisados.
- Responder = Ações são tomadas em resposta a incidentes de cibersegurança detectados.
- Recuperar = Recursos e operações afetados por incidentes de cibersegurança são restaurados.
Fonte: NIST E-book
Implementação Prática: Adaptando as Diretrizes NIST às Necessidades da Sua Empresa
O melhor ponto de partida é a página dedicada às referências informativas do NIST. É importante lembrar que nem você nem sua empresa são obrigados a seguir todas essas referências. Algumas medidas podem não ser relevantes para o seu negócio, ou você pode já ter processos eficientes implementados. Escolha apenas o que faz sentido para suas necessidades e ignore o restante.
Ao aplicar essas referências informativas, você pode avaliar em qual nível de implementação do framework sua empresa se encontra, com base em como adere aos princípios e lida com riscos de cibersegurança. Além disso, defina o seu perfil de framework. Isso ajuda a identificar onde estão as lacunas e permite criar um plano de implementação por ordem de prioridade.
Você também pode seguir o Roteiro do Framework NIST, que apresenta 14 categorias essenciais para atenção:
- Mecanismos de Confiança
- Ciclo de Vida dos Ciberataques
- Força de Trabalho em Cibersegurança
- Gerenciamento de Riscos na Cadeia de Suprimentos
- Alinhamento com Agências Federais de Cibersegurança
- Governança e Gerenciamento de Riscos Corporativos
- Gestão de Identidade
- Aspectos e Impactos Internacionais
- Medição de Cibersegurança
- Engenharia de Privacidade
- Técnicas de Referenciamento
- Conscientização e Recursos para Pequenas Empresas
- Internet das Coisas (IoT)
- Desenvolvimento Seguro de Software
Talvez você pense que sua empresa é pequena demais para se beneficiar de um sistema tão abrangente de diretrizes. No entanto, mesmo pequenos negócios podem se proteger seguindo o NIST. Como já mencionado, adotar medidas preventivas pode evitar gastos muito maiores no futuro ao impedir um ataque antes que ele cause danos.
Para pequenas empresas, o NIST criou uma página específica que explica como começar e o que fazer para implementar essas diretrizes de forma prática e eficiente.
Ainda não sabe por onde começar?
Para empresas ou indivíduos que acham o Framework de Cibersegurança NIST (CSF) muito complexo para implementar, os Controles do CIS (Centre for Internet Security) podem ser um ponto de partida mais acessível. Os Controles do CIS são uma série de ações priorizadas que fornecem orientações específicas e práticas sobre como melhorar a cibersegurança. Eles são mais instrutivos e fáceis de seguir para quem está começando a aplicar frameworks de cibersegurança.
Esses controles oferecem uma abordagem passo a passo que pode servir como base antes de migrar para o NIST CSF, que é mais abrangente.
Uma das maiores vantagens do framework NIST é sua adaptabilidade às necessidades e metodologias específicas de cada empresa. As recomendações do NIST complementam seu programa de segurança digital e estratégias de gerenciamento de risco, ajudando a identificar pontos que podem ser aprimorados ou sugerindo novas etapas onde for necessário.
Além disso, o NIST CSF é uma ferramenta valiosa para facilitar discussões com a alta gestão sobre segurança digital e os riscos associados.
