(https://guilhermeteles.com.

br)

O que é o NIST CyberSecurity

Framework ?
Guilherme Teles(https://guilhermeteles.com.br/author/admin/) 01/01/2020
Destaques (https://guilhermeteles.com.br/category/destaques/), Segurança da Informação
(https://guilhermeteles.com.br/category/seguranca/)

O que é o NIST CyberSecurity Framework ?

O framework de segurança cibernética NIST, também chamado em inglês de NIST Cyber Security Framework,
fornece uma estrutura, com base nos padrões, diretrizes e práticas existentes para organizações do setor
privado nos Estados Unidos, a fim de gerenciar e reduzir melhor o risco de segurança cibernética.

Além de ajudar as organizações a prevenir, detectar e responder a ameaças cibernéticas e ataques cibernéticos,
ele foi projetado para melhorar as comunicações de segurança cibernética e gerenciamento de riscos entre as
partes interessadas internas e externas.
A estrutura é cada vez mais adotada como prática recomendada, com 30% das organizações dos EUA a usá-la a
partir de 2015, com previsão de aumento para 50% até 2020. Nos Estados Unidos, 16 setores críticos de
infraestrutura e 20 estados usam a estrutura.
(https://guilhermeteles.com.br)
Fora dos Estados Unidos, a estrutura foi traduzida para vários idiomas e é usada pelos governos do Japão e Israel,
entre outros. Além disso, no Brasil, pela ultima pesquisa do Gartner, é o framework de segurança a ser
seguido.

Um estudo de adoção da estrutura de segurança relatou que 70% das organizações pesquisadas veem a NIST
Cybersecurity Framework como a melhor prática para segurança da informação, segurança de dados e segurança
de rede, mas muitos observam que isso requer um investimento significativo.

Dito isto, com o custo médio de uma violação de dados chegando a US $ 3,92 milhões, investir em ferramentas
para evitar violações e vazamentos de dados é uma escolha sábia.

Muitas organizações estão investindo em ferramentas para automatizar o gerenciamento de riscos de

fornecedores, monitorando e classificando continuamente a segurança dos fornecedores, bem como o
monitoramento contínuo de exposições de dados e credenciais vazadas.

Qual é o objetivo do NIST Cybersecurity Framework?

A Estrutura de Segurança Cibernética do NIST procura solucionar a falta de padrões no que diz respeito à
segurança cibernética, fornecendo “uma taxonomia de alto nível dos resultados de segurança cibernética e uma
metodologia para avaliar e gerenciar esses resultados”.

A cibersegurança é uma indústria jovem e existem grandes diferenças na maneira como as empresas usam
tecnologia, processos, controle de acesso e outros controles de segurança para reduzir o risco de ataques
cibernéticos, como ataques do tipo intermediário, phishing, falsificação de e-mail, seqüestro de domínio, spear
phishing, worms de computador, violações de dados, typosquatting, ransomware e outros tipos de malware.

A estrutura visa ajudar as organizações a aprender com as melhores práticas.

Qual é o resumo do NIST Cybersecurity Framework?

O NIST Cybersecurity Framework consiste em três componentes principais:

O núcleo da estrutura: um conjunto de atividades e resultados de cibersegurança desejados, usando linguagem

comum fácil de entender. Ele orienta as organizações no gerenciamento e na redução de riscos de segurança
cibernética, complementando as metodologias existentes de segurança cibernética e gerenciamento de riscos.

O perfil da estrutura: o alinhamento exclusivo de uma organização de seus requisitos e objetivos organizacionais,
apetite por risco e recursos com os resultados desejados do núcleo da estrutura. Os perfis são usados ​
principalmente para identificar e priorizar oportunidades para melhorar os padrões de segurança e mitigar os
riscos em uma organização.

As camadas de implementação da estrutura: fornece um contexto sobre como uma organização vê o

gerenciamento de riscos de segurança cibernética, orienta-os a considerar qual é o nível de rigor apropriado para
eles e é frequentemente usado como uma ferramenta de comunicação para discutir o apetite ao risco, a
prioridade da missão e o orçamento.

Quais são os benefícios do NIST Cybersecurity

Framework?
O NIST Cybersecurity Framework fornece uma linguagem comum e metodologia sistemática para gerenciar riscos
de segurança cibernética.
O Núcleo da Estrutura descreve atividades e fontes de informação que podem ser incorporadas a qualquer
programa de segurança cibernética e foi projetado para complementar, em vez de substituir seu programa atual
de segurança cibernética.
(https://guilhermeteles.com.br)
Ao criar um Perfil da Estrutura, as organizações podem identificar áreas nas quais os processos existentes
precisam ser fortalecidos ou onde novos processos podem ser implementados.

Esses perfis e o idioma comum fornecido no Framework Core podem melhorar a comunicação através da
organização e melhorar sua estratégia de gerenciamento de riscos.

O emparelhamento de um perfil da estrutura com um plano de implementação permite que sua organização
decida quais medidas de proteção econômicas serão tomadas com base em sistemas de informação, ambiente
de negócios e probabilidade de evento de segurança cibernética.

Além disso, os Perfis e os processos de gerenciamento de riscos que eles criam podem ser aproveitados como
artefatos fortes para demonstrar o devido cuidado.

Por fim, as Camadas de implementação da estrutura fornecem à sua organização um contexto sobre o quão
robusta é sua estratégia de segurança cibernética e se você aplicou o nível apropriado de rigor para o tamanho e
a complexidade da sua organização. As camadas podem ser usadas como ferramentas de comunicação para
discutir também a prioridade da missão, o apetite ao risco e o orçamento.

O que há no NIST Cybersecurity Framework Core?

O NIST Cybersecurity Framework Core foi desenvolvido para ajudar as organizações a definir quais atividades eles
precisam realizar para atingir diferentes padrões de segurança cibernética.

Permite a comunicação entre equipes multidisciplinares usando linguagem simples e não técnica.

O Framework Core consiste em três partes:

Funções: As cinco funções de alto nível são Identificar, Detectar, Proteger, Responder e Recuperar. Essas cinco
funções não se aplicam apenas ao gerenciamento de riscos cibernéticos, mas também ao gerenciamento de
riscos em geral.

Categorias: existem 23 categorias divididas nas cinco funções. As categorias abrangem a amplitude dos objetivos
de segurança cibernética (resultados cibernéticos, físicos, pessoais e comerciais), embora não sejam
excessivamente detalhados.

Subcategorias: existem 108 subcategorias divididas nas 23 categorias. Estas são declarações orientadas a
resultados que fornecem considerações para criar ou melhorar um programa de segurança cibernética. Como a
Estrutura é orientada a resultados, ela não determina como uma organização obtém resultados, pois deve fazer
implementações baseadas em riscos com base em suas necessidades.

Quais são as cinco funções da estrutura de segurança

cibernética do NIST?
As cinco funções incluídas no Framework Core são:

Identificar
Proteger
Detectar
Responder
Recuperar

Lembre-se, existem 23 categorias e 108 subcategorias.

Para cada subcategoria, é fornecido um recurso informativo que faz referência a seções específicas de outros
padrões de segurança da informação, incluindo ISO 27001, COBIT, NIST SP 800-53, ANSI / ISA-62443 e o CCS CSC
(CCS CSC).
(https://guilhermeteles.com.br)
Embora o NIST CSF seja um ótimo guia, a maioria dessas referências informativas exige uma associação paga ou
uma compra para acessar, o que levou à criação de novos guias do NIST Framework mais acessíveis às pequenas
empresas.

Identificar
A função Identify ajuda a desenvolver o entendimento organizacional do risco de segurança cibernética para
sistemas, pessoas, ativos, dados e recursos.

Existem seis categorias na função Identify:

Gerenciamento de ativos (ID.AM): Os dados, pessoal, dispositivos, sistemas e instalações que permitem à
organização operar são identificados e gerenciados de forma consistente com sua importância relativa para
a organização e sua estratégia de risco.
Ambiente de negócios (ID.BE): A missão, os objetivos, as partes interessadas e as atividades da organização
são entendidas, priorizadas e usadas para informar as funções, responsabilidades e decisões de
gerenciamento de riscos de segurança cibernética.
Governança (ID.GV): as políticas, procedimentos e processos para gerenciar e monitorar os requisitos
regulatórios, legais, de risco, ambientais e operacionais da organização.
Avaliação de risco (ID.RA): A organização entende o risco de segurança cibernética para cada função
(incluindo missão, imagem e reputação), ativos organizacionais e indivíduos.
Estratégia de Gerenciamento de Riscos (ID.RM): As prioridades, restrições, tolerância a riscos e premissas
da organização são estabelecidas e usadas para apoiar as decisões de risco.
Gerenciamento de risco da cadeia de suprimentos (ID.SC): As prioridades, restrições, tolerância e premissas
da organização são estabelecidas e usadas para apoiar decisões de risco relacionadas ao risco de terceiros
e de terceiros. A organização implementou um processo para identificar, avaliar e gerenciar os riscos da
cadeia de suprimentos, por exemplo, uma estrutura de gerenciamento de riscos de terceiros, modelo de
questionário de segurança do fornecedor e uma ferramenta de classificação de segurança.

Proteger
A Função de Proteção descreve salvaguardas apropriadas para garantir a entrega de serviços e limites críticos de
infraestrutura ou contém o impacto de eventos potenciais de segurança cibernética, geralmente empregando
uma estratégia de defesa em profundidade.

Existem seis categorias na função de proteção:

Controle de acesso (PR.AC): o acesso a ativos e instalações é limitado a usuários, processos ou dispositivos
autorizados, além de atividades e transações autorizadas.
Conscientização e treinamento (PR.AT): O pessoal e os parceiros recebem treinamento em conscientização
de segurança cibernética e podem executar suas tarefas e responsabilidades relacionadas à segurança da
informação, consistentes com políticas, procedimentos e acordos.
Segurança de dados (PR.DS): Os dados confidenciais são gerenciados de forma consistente, de acordo com
a estratégia de risco da organização, para proteger sua confidencialidade, integridade e disponibilidade (CIA
Triad).
Processos e procedimentos de proteção de informações (PR.IP): políticas de segurança da informação (que
abordam o objetivo, escopo, funções, responsabilidades, compromisso de gerenciamento e coordenação
entre entidades), processos e procedimentos são mantidos e usados ​para proteger sistemas e ativos de
informação.
Manutenção (PR.MA): a manutenção e os reparos dos controles e sistemas de informação são consistentes
com as políticas e procedimentos.
 Tecnologia de proteção (PR.PT): As soluções técnicas de segurança são gerenciadas para garantir a
segurança e a resiliência dos sistemas e ativos consistentes com as políticas, procedimentos e acordos.

Detectar (https://guilhermeteles.com.br)

A Função Detectar define atividades apropriadas para identificar a ocorrência de um evento de segurança
cibernética em tempo hábil.

Existem três categorias na função Detectar:

Anomalias e eventos (DE.AE): A atividade anômala é detectada em tempo hábil e o impacto potencial é
compreendido.
Monitoramento contínuo de segurança (DE.CM): Os sistemas e ativos de informação são monitorados
continuamente para identificar eventos de segurança e verificar a eficácia das medidas de proteção, por
exemplo software de classificação de segurança do fornecedor e detecção de vazamento de dados.
Processos de detecção (DE.DP): os processos e procedimentos de detecção são mantidos e testados.

Responder
A Função de resposta descreve as atividades apropriadas a serem realizadas após um incidente de segurança
para melhorar a resposta e reduzir o impacto de um evento.

Existem cinco categorias na função Responder:

Planejamento de respostas (RS.RP): processos e procedimentos de resposta e praticados, executados e

mantidos.
Comunicações (RS.CO): As atividades de resposta são coordenadas com as partes interessadas internas e
externas.
Análise (RS.AN): A análise é conduzida para garantir uma resposta adequada e apoiar as atividades de
recuperação.
Mitigação (RS.MI): são realizadas atividades para impedir a propagação de um ataque cibernético,
mitigando seus efeitos e erradicando vetores de ataque.
Melhorias (RS.IM): As atividades de resposta são aprimoradas incorporando práticas recomendadas, lições
aprendidas e outras informações.

Recuperar
A Função Recuperar identifica atividades apropriadas para planejar a resiliência e restaurar recursos ou serviços
que foram prejudicados durante um ataque cibernético, dando suporte à recuperação oportuna e melhorando o
planejamento da resposta a incidentes.

Existem três categorias na função Recuperar:

Planejamento de recuperação (RC.RP): processos e procedimentos de recuperação são executados e

mantidos para garantir a restauração de sistemas ou ativos.
Melhorias (RC.IM): O planejamento e os processos de recuperação são aprimorados incorporando práticas
recomendadas, lições aprendidas e outras informações.
Comunicações (RC.CO): As atividades de restauração são coordenadas com a equipe interna e fornecedores
de terceiros.
 (https://guilhermeteles.com.br)

O que são perfis do NIST Cybersecurity Framework?

Perfis são o alinhamento exclusivo de uma organização com seus requisitos e objetivos de negócios, apetite por
riscos e recursos com os resultados desejados no Núcleo da Estrutura.

Os perfis são sobre a otimização do Cybersecurity Framework para melhor atender sua organização. Não existe
uma maneira certa ou errada de usá-lo, pois é uma estrutura voluntária e amplamente baseada no
gerenciamento da organização de riscos à segurança cibernética, tolerância a riscos e entendimento
organizacional de salvaguardas apropriadas.

Uma abordagem popular é mapear requisitos de segurança cibernética, objetivos de missão e metodologias
operacionais, juntamente com as práticas atuais em relação às subcategorias no Framework Core para criar um
perfil atual. Esses requisitos e objetivos podem ser comparados com o estado atual para entender melhor onde
estão as lacunas.

Após a conclusão desse processo de avaliação de riscos à segurança cibernética, as organizações criam um plano
de implementação priorizado com base na prioridade, tamanho da lacuna e estimam os custos das atividades
apropriadas ou das tecnologias de proteção.
Outra maneira de fazer isso é adotar um perfil de destino da linha de base que seja personalizado para o seu
setor (por exemplo, serviços financeiros ou assistência médica). Essa pode ser uma ótima idéia para organizações
que possuem requisitos regulamentares para proteger dados confidenciais, como informações de identificação
(https://guilhermeteles.com.br)
pessoal (PII), informações de saúde protegidas (PHI) ou dados biométricos.

Quais são as camadas de implementação da estrutura

de segurança cibernética do NIST?
Existem quatro camadas de implementação descritas na estrutura de segurança cibernética do NIST, quanto
maior a camada, mais próximo o programa de gerenciamento de riscos de segurança cibernética da organização
está das características definidas na estrutura.

As quatro camadas são:

Nível 1 (parcial)
Nível 2 (Risco informado)
Nível 3 (repetível)
Nível 4 (adaptável)
Observe que as camadas não representam necessariamente níveis de maturidade. As organizações precisam
determinar sua camada desejada, que atenderá às metas organizacionais, reduzirá o risco de segurança
cibernética a um nível aceitável e poderá ser implementada nos níveis financeiro e operacional.

Qual é o histórico do NIST Cybersecurity Framework?

Em fevereiro de 2013, o presidente Barack Obama emitiu a Ordem Executiva (EO) 13636, Melhorando a
segurança cibernética da infraestrutura crítica, para melhorar a segurança nacional e econômica dos Estados
Unidos, melhorando a confiabilidade de sua infraestrutura crítica.

O EO 13636 instruiu o NIST a trabalhar com as partes interessadas para desenvolver uma estrutura voluntária, a
Estrutura do NIST para melhorar a segurança cibernética da infraestrutura crítica, com base nos padrões,
diretrizes e práticas existentes para reduzir o risco de segurança cibernética à infraestrutura crítica. Isso foi
reforçado pela Lei de aprimoramento de segurança cibernética de 2014.

A versão 1.0 foi publicada pelo Instituto Nacional de Padrões e Tecnologia, criado originalmente para promover a
proteção da infraestrutura crítica, criando uma abordagem priorizada, flexível, repetível e econômica para ajudar
proprietários e operadores a gerenciar riscos de segurança cibernética.

A estrutura foi amplamente adotada pelas organizações e ajudou a mudar as organizações para serem proativas
sobre o gerenciamento de riscos.

Em 2017, uma versão preliminar do 1.1 foi divulgada para comentários do público. A versão 1.1 foi disponibilizada
ao público em 16 de abril de 2018 e é compatível com a versão 1.0.

As principais mudanças foram a inclusão de orientações sobre como realizar autoavaliações, detalhes adicionais
sobre o gerenciamento de riscos do fornecedor, orientações sobre como interagir com as partes interessadas da
cadeia de suprimentos e fornecedores terceirizados e incentivam um processo de divulgação de vulnerabilidades,
por exemplo. listando-os no CVE.

 (https://guilhermeteles.com.br/arm (https://guilhermeteles.com.br/o-fu
 (https://guilhermeteles.com.br)

Conteúdos relacionados

(https://guilhermeteles.com.br/dia-a-dia-do-cara-de-devops/)

Computação em Nuvem (https://guilhermeteles.com.br/category/nuvem/)

Dia a dia do cara de DevOps

(https://guilhermeteles.com.br/dia-a-dia-do-cara-de-devops/)

Guilherme Teles · 28 de abril de 2021

 (https://guilhermeteles.com.br)
(https://guilhermeteles.com.br/beneficios-do-serverless/)

Computação em Nuvem (https://guilhermeteles.com.br/category/nuvem/)

Benefícios do Serverless
(https://guilhermeteles.com.br/beneficios-do-serverless/)

Guilherme Teles · 12 de abril de 2021

(https://guilhermeteles.com.br/por-que-tirar-uma-certificacao-da-aws/)

Computação em Nuvem (https://guilhermeteles.com.br/category/nuvem/)

Por que tirar uma certificação da AWS ?

(https://guilhermeteles.com.br/por-que-tirar-uma-certificacao-da-aws/)

Guilherme Teles · 6 de outubro de 2020

 (https://guilhermeteles.com.br)

(https://guilhermeteles.com.br/melhores-regras-de-praticas-de-nuvem/)

Computação em Nuvem (https://guilhermeteles.com.br/category/nuvem/)

Melhores regras de práticas de nuvem

(https://guilhermeteles.com.br/melhores-regras-de-praticas-de-nuvem/)

Guilherme Teles · 6 de outubro de 2020

(https://guilhermeteles.com.br/uma-abordagem-moderna-para-seguranca-em-
nuvem/)

Segurança da Informação
(https://guilhermeteles.com.br/category/seguranca/)

Uma abordagem moderna para segurança em nuvem

(https://guilhermeteles.com.br/uma-abordagem-moderna-para-
seguranca-em-nuvem/)

Guilherme Teles · 6 de outubro de 2020

 (https://guilhermeteles.com.br)

(https://guilhermeteles.com.br/empregos-com-certificacao-aws/)

Computação em Nuvem (https://guilhermeteles.com.br/category/nuvem/)

Empregos com certificação AWS

(https://guilhermeteles.com.br/empregos-com-certificacao-aws/)

Guilherme Teles · 16 de agosto de 2020

(htt
(htt
(htt ps:/
ps:/
(htt ps:/ /ww
ps:/ /ww w.in /ww (htt
w.li ps:/
/twi w.y (https://guilhermeteles.com.br)
stag
nke /t.m
tter. out ram
din. e/ro
co ube.
    coad.co
m/t co m/g
m/i ma
eles m/g uilh
n/g pcl
guil uilh erm
uilh oud
her erm etel erm )
me) etel es.c
etel
es) om.
Categorias  Ebooks  Cursos & Eventos
br/)
es/)  Vídeos Contato

Inscreva-se para receber nossas novidades

Nome Completo

Email

Enviar 
 (https://guilhermeteles.com.br)
Termos de Uso | Política de PrivacidadeGuilherme Teles © 2021.
Criação de Sites por Upsites (https://upsites.digital)