Explore o NIST Cybersecurity Framework

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

• Definir as partes da Estrutura de segurança cibernética NIST.
  
• Explicar como usar a Estrutura de segurança cibernética NIST.
  

Introdução à Estrutura de segurança cibernética (CSF) do National Institute of Standards and Technology (NIST)

Lembra-se de Jim, o engenheiro de segurança de rede de uma pequena clínica do módulo anterior? Ele decidiu finalmente começar a construir a casa dos seus sonhos. Ele pensa nos recursos mais importantes para ele: um quintal com cerca onde seus filhos podem brincar em segurança, quartos separados para cada criança, uma sala de jantar ao ar livre para receber convidados. 

Ele liga para seu amigo arquiteto e explica sua visão. Ele quer uma atmosfera consistente em toda a casa: moderna, desimpedida, minimalista. Seu arquiteto dá umas ideias em relação às etapas que ele deve seguir, das fases de design e construção até os detalhes finais e a mudança para a casa. 

Assim como Jim jamais construiria uma casa sem um plano, ele não abordaria a segurança cibernética da sua organização sem um plano. Ter uma estrutura, seja construindo uma casa, seja navegando o programa de segurança de uma organização, pode ajudar a priorizar tarefas, comunicar-se com stakeholders e ter certeza de que todos entendem as atividades, os processos e os cuidados necessários para atender aos objetivos finais.

A CSF do NIST pode ser usada para entender, avaliar, priorizar e comunicar os riscos de segurança cibernética. Ela foi desenvolvida pela divisão de padronização do Departamento de comércio dos Estados Unidos, mas se aplica a organizações governamentais e do setor privado de todos os tamanhos no mundo todo, e usa as melhores práticas dos setores para administrar riscos de segurança cibernética. A CSF NIST serve para:

• Aplicar-se a várias organizações
  
• Fortalecer a postura de segurança de uma organização
  
• Facilitar a comunicação clara em todos os níveis de uma organização
  
• Destacar a importância da governança e das cadeias de abastecimento
  
• Melhorar a comunicação com fornecedores e parceiros
  
• Auxiliar na elaboração de planos de implementação
  
• Ajudar a integrar questões relacionadas à segurança cibernética com estratégias mais amplas de gerenciamento de riscos corporativos
  

A CSF NIST complementa as estratégias de segurança cibernética existentes e é apenas mais uma das estruturas disponíveis para se usar. Consulte a seção Recursos no final desta unidade para saber mais sobre outras estruturas disponíveis.  

Aprender as funções da CSF NIST

As seis funções da CSF do NIST descrevem as atividades de segurança cibernética e os resultados desejados nas organizações, desde o nível executivo até o nível operacional, onde um engenheiro de segurança de rede atua diariamente. As seis funções são: Administrar, identificar, proteger, detectar, responder e recuperar. Essas funções oferecem uma visão abrangente do ciclo de vida do gerenciamento do risco de segurança cibernética de uma organização e podem ser aplicadas a muitos domínios, incluindo segurança de aplicativos, inteligência contra ameaças e segurança de rede.

As unidades deste módulo e do próximo fornecem informações sobre cada uma das seis funções de segurança cibernética e como elas podem ser aplicadas para entender o papel de um engenheiro de segurança de rede. Você pode visualizar cada uma rapidamente aqui.

1. Administrar: a estratégia de gerenciamento de riscos de segurança cibernética é estabelecida. A função Administrar ajuda a entender como os riscos de segurança cibernética podem atrapalhar o cumprimento da missão da empresa.
   
2. Identificar: os riscos de segurança cibernética são compreendidos. A função Identificar ajuda a determinar quais ativos e usuários estão na rede e quais vulnerabilidades, ameaças e riscos estão associados a cada um deles. Se um engenheiro de segurança de rede não sabe o que possui, como ele pode proteger esses ativos?
   
3. Proteger: são usadas salvaguardas para gerenciar os riscos. a função Proteger inclui os controles de segurança em vigor em relação a dispositivos de rede, acesso à rede e dados em trânsito e armazenados na rede. Isso também inclui ter certeza de que os usuários estão cientes e receberam treinamento sobre políticas e procedimentos de segurança de rede.
   
4. Detectar: Possíveis incidentes são encontrados e analisados. a função Detectar envolve saber quando algo anômalo ou mal-intencionado ocorre na rede, entender o impacto e verificar a eficácia das medidas protetoras.
   
5. Responder: são tomadas medidas contra os incidentes identificados. não interessa o grau de excelência de um profissional de segurança em seu trabalho; às vezes, coisas ruins acontecem. E quando acontecem, os engenheiros de segurança de rede precisam ser capazes de executar processos de resposta e gerenciar a comunicação durante um ataque; eles também precisam aprender com os erros para fortalecer a postura de segurança no futuro.
   
6. Recuperar: os ativos e as operações afetadas são restaurados. após um ataque, os engenheiros de segurança de rede podem ter um papel a desempenhar na restauração de sistemas afetados a um estado de funcionamento normal e na implementação de aprimoramentos para fortalecer a segurança de rede. Esses são os elementos essenciais da função de recuperação.
   

Administrar

Em primeiro lugar, a função “administrar”, a mais recente adição à estrutura, estabelece a estratégia de gestão de riscos de segurança cibernética da organização, garantindo o seu alinhamento com os objetivos gerais de negócio e a tolerância ao risco. Esta função é transversal, acrescenta contexto e foi projetada para ajudar as equipes de segurança a priorizar os resultados das outras cinco funções. A função de administrar (governança) compreende quatro categorias críticas:

• Contexto organizacional: isto envolve examinar a missão, visão, apetite ao risco da organização, bem como o alinhamento da segurança cibernética com os objetivos estratégicos do negócio.
  
• Estratégia de gestão de risco: engloba o desenvolvimento de uma estratégia para identificar, avaliar e responder aos riscos de segurança cibernética, garantindo que complementa os objetivos empresariais mais amplos.
  
• Políticas e procedimentos: inclui estabelecer e aplicar políticas e procedimentos que apoiem a estratégia de gestão de riscos de segurança cibernética (por exemplo, políticas de segurança cibernética, política de formação, plano de resposta a incidentes).
  
• Funções e responsabilidades: concentra-se em definir e atribuir claramente funções e responsabilidades de segurança cibernética, além de implementar mecanismos de comunicação e colaboração.
  

Embora o engenheiro de segurança de rede possa não ter um papel direto nos aspectos de alto nível da função administrar, ele desempenha um papel crucial no apoio às decisões e na implementação dos controles que farão cumprir as decisões tomadas durante esta fase.Verificação de conhecimento

Pronto para analisar o que aprendeu? A verificação de conhecimento abaixo não é pontuada, é apenas uma maneira fácil de avaliar o que você absorveu. Para começar, arraste a função na coluna à esquerda para a categoria correspondente à direita. Quando terminar de corresponder todos os itens, clique em Enviar para verificar seu trabalho. Se quiser recomeçar, clique em Redefinir.

Ótimo trabalho! Você aprendeu a usar uma estrutura como a CSF NIST para entender e administrar um programa de segurança. Na próxima seção, vamos nos aprofundar na primeira função, Identificar, e explicar como um engenheiro de segurança de rede entende os dispositivos, os usuários e a topologia da rede que ele precisa proteger. 

Recursos

• Site externo: NIST: a estrutura de segurança cibernética (CSF) 2.0 do NIST chegou!
• Site externo: Controles do Center for Internet Security (CIS)
• Site externo: ISO/IEC 27001 Padrão internacional de Segurança da Informação
• Site externo: Objetivos de controle em tecnologias relacionadas à informação ISACA (COBIT)