Cibersegurança

A implementação da framework CSWP da NIST é fundamental para estabelecer as diretrizes de cibersegurança e a estrutura
organizacional relacionada à segurança cibernética. Antes de iniciarmos o plano de contenção, é imprescindível entender e identificar
todas as áreas em que a framework será aplicada. Neste momento, nosso foco será na parte de segurança, especificamente na
identificação e proteção dos sistemas, dados, ativos, pessoas e capacidades tecnológicas envolvidas.

Indice

CSWP
Auto avaliação do risco de segurança cibernetica com a estrutura
Fluxo de informações organizacional
Funções
Identificar
Ambiente de negócios
D.BE-1: O papel da organização na cadeia de suprimentos é identificado e comunicado
D.BE-4: Dependências e funções críticas para entrega de serviços críticos são estabelecidas
D.BE-5: Os requisitos de resiliência para apoiar a entrega de serviços críticos são estabelecidos para todos os estados
operacionais (por exemplo, sob coação/ataque, durante a recuperação, operações normais)
ID.BE-2: O lugar da organização na infraestrutura crítica e seu setor industrial é identificado e comunicado
ID.BE-3: Prioridades para missão, objetivos e atividades organizacionais são estabelecidas e comunicadas
Avaliação de risco
Estratégia de Gestão de Risco
Gestão de ativos
D.AM-1: Dispositivos físicos e sistemas dentro da organização são inventariados
D.AM-2: Plataformas de software e aplicativos dentro da organização são inventariados
D.AM-3: A comunicação organizacional e os fluxos de dados são mapeados
D.AM-5: Os recursos (por exemplo, hardware, dispositivos, dados, tempo, pessoal e software) são priorizados com base em
sua classificação, criticidade e valor comercial
ID.AM-4: Os sistemas de informação externos são catalogados
ID.AM-6: Papéis e responsabilidades de segurança cibernética para toda a força de trabalho e partes interessadas
terceirizadas (por exemplo, fornecedores, clientes, parceiros) são estabelecidas
Gestão de Riscos da Cadeia de Suprimentos
Governança
D.GV-4: Processos de governança e gerenciamento de riscos abordam riscos de segurança cibernética
ID.GV-1: A política de segurança cibernética organizacional é estabelecida e comunicada
ID.GV-2: funções de segurança cibernética e as responsabilidades são coordenadas e alinhadas com funções internas e
parceiros externos
ID.GV-3: Os requisitos legais e regulamentares relativos à segurança cibernética, incluindo obrigações de privacidade e
liberdades civis, são compreendidos e gerenciados
Proteger
Conscientização e Treinamento
Gerenciamento de identidade e controle de acesso
Manutenção
Processos e Procedimentos de Proteção de Informações
Segurança de dados
Tecnologia de proteção
Referencias informativas
Metodologia para proteger a privacidade e as liberdades civis
Niveis da organização (Tier)
 Notas - Referencias informativas.
Perfil alvo
Perfil atual

Detecretos e Resoluções na àrea de Tecnologia e Segurança da informação

DECRETO Nº 10.222, DE 5 DE FEVEREIRO DE 2020
DECRETO Nº 9.637, DE 26 DE DEZEMBRO DE 2018
RESOLUÇÃO Nº 740, DE 21 DE DEZEMBRO DE 2020

Reuniões

Introdução
Para alcançar o nível dois de implementação da framework, nosso pequeno escopo inicial deve envolver o desenvolvimento de um perfil
alvo que nos permita compreender melhor a organização e gerenciar efetivamente os riscos de segurança cibernética.

Nossa estratégia seguirá os seguintes passos iniciais:

1. Identificação das áreas afetadas: Realizar uma análise detalhada para identificar todas as áreas da organização que serão impactadas
pela implementação da framework CSWP.
2. Avaliação de riscos: Realizar uma avaliação completa dos riscos de segurança cibernética enfrentados pela organização, considerando
sistemas, dados, ativos, pessoas e capacidades tecnológicas.
3. Desenvolvimento do perfil alvo: Com base na análise das áreas afetadas e na avaliação de riscos, desenvolveremos um perfil alvo que
nos dará uma visão clara dos objetivos de segurança a serem alcançados.
4. Implementação da parte de segurança (IDENTIFICAR e PROTEGER): Iniciaremos a implementação da framework focando nas
funções de identificação e proteção. Isso incluirá o desenvolvimento de um entendimento organizacional para a gestão de riscos de
segurança cibernética e a aplicação de medidas para garantir a salvaguarda dos dados e sistemas.

Ao prosseguir com essas etapas iniciais, estaremos no caminho para atingir o nível dois de implementação, onde poderemos expandir a
aplicação da framework CSWP para outras áreas, avançando para os níveis futuros de Risco informado e Repetível.

Esses níveis na framework, fala basicamente sobre como devemos implementar e quais são esses níveis, para assim seguir uma
determinado logica e ter resultado esperados. São eles:

1. Nível: Parcial (Atual)

2. Nível: Risco informado (Alvo)
3. Nível: Repetível (Futuro)
4. Nível: Adaptável (Futuro)

É importante destacar que a framework possui uma estrutura composta por funções, categorias, subcategorias e referências informativas,
as quais nos guiarão durante todo o processo de implementação. A correta leitura e categorização desses elementos serão essenciais
para otimizar nosso projeto e garantir a efetividade das medidas de cibersegurança adotadas.

Dessa forma, com um escopo bem definido e seguindo os passos estratégicos, estaremos preparados para fortalecer a segurança
cibernética da organização e enfrentar os desafios crescentes relacionados à proteção dos sistemas e dados contra ameaças cibernéticas
em constante evolução.

Esses níveis indicam como a organização irá aplicá-la, mostrando o caminho a ser seguido. Atualmente, para chegar ao nível dois, é
necessário desenvolver pelo menos um escopo de um perfil alvo.

FRAMEWORK IDENTIFICAR CATEGORIAS SUBCATEGORIAS REFERENCIAS

FUNCTIONS
--------------------- --------------------- ---------------------

PROTEGER CATEGORIAS SUBCATEGORIAS REFERENCIAS

 --------------------- --------------------- ---------------------

Estrutura da framework
A versão que estamos utilizando é a versão 1.1 da framework. Ela tem uma estrutura que é feita para um tipo de chamado e impacto
chamado de Infraestrutura crítico, onde está relacionado diretamente a sistemas da informação  que envolve o meio físico, virtuais ou
lógicos.

A ideia a principio, é para expor de forma independente as ameaças. Para isso, ela toma como base padrões e diretrizes que fazem parte
da pratica como um todo do mecanismos de proteção da organização.

Entendendo e desenvolvendo essa estrutura de forma básica ou até mesmo uma anotação, a framework fornece um mecanismo básico
para se ter um entendimento melhor.

É necessario descrever a postura atual de segurança cibernetica;

Descrever o estado algo para a segurança cibernetica;
Identificar e priorizar as oportunidades de melhoria no contexto de um processo continue é preciso ser repetivel;
Avaliar o progresso, é preciso está alianhado com o estado alvo e endireção para ele;
Comunicar as partes interessadas internas e externar sobre o risco da cibersegurança é extremamente necessario;

É importante notar, que essa estrutura não é uma abordagem única. Mas existem componentes que são considerados importantes e que
fazem parte dela, tal como o Core, as camadas de implementação da estrutura (“Tiers”) e os porfieis de estrutura.

O Framework Core é um conjunto de atividades de segurança cibernética, resultados desejados e referencias aplicáveis de acordo com
as funções. A framework consiste em cinco principais funções simultâneas e continuas: Identificar, Proteger, detectar, Responder e
recuperar.

As camadas de implementação de estrutura, fornecem contexto sobre como uma organização vê o risco de segurança cibernética e os
processos em vigor para a gerenciar esse risco.

Um perfil de estrutura representa os resultados com base nas necessidades de negócios que uma organização selecionou nas
categorias e subcategorias da estrutura. O Perfil pode ser caracterizado como o alinhamento de padrões, diretrizes e praticas ao
framework core em uma determinado cenário de implementação.

 Artigos relacionados
Relatório clientes em aberto e inadimplência
Processos T.I.
Niveis da organização (Tier)
Instalação WSL + Instalação do Docker
Git e Github: como versionar código de verdade