Compreendendo a Estrutura do NIST

Os usuários corporativos estão sujeitos a diferentes regulamentações cibernéticas, dependendo de sua localização e setor de atuação. Dentro da UE, é provável que estejam abrangidos pela NIS2. As instituições financeiras estão sujeitas a normas como a DORA ou as regras PCI-DSS.

Os maiores obstáculos que os usuários corporativos enfrentam para melhorar a segurança cibernética são a compreensão incompleta dos riscos e a falta de alocação de recursos suficientes para desenvolver um programa de segurança sistemático e abrangente. A compra de um produto não resolve o desafio; a segurança é um desafio multidisciplinar e deve ser gerenciada dessa forma.

Quando não há regulamentação direta, a melhor prática é que as organizações estejam em conformidade com normas como a IEC ou a estrutura do NIST. Ao considerar as seis funções da Estrutura de Cibersegurança do Instituto Nacional de Padrões e Tecnologia (NIST), as empresas podem se preparar para incidentes cibernéticos e tomar as medidas adequadas para responder.

IDENTIFICAR - Desenvolver uma compreensão dos riscos de segurança cibernética para facilitar sua identificação.

O principal objetivo de “Identificar” é tornar “visíveis” os ativos em uma rede, como sistemas e dispositivos de rede. Especificamente, isso envolve a criação de um inventário de ativos de rede que abranja os sistemas e equipamentos baseados em computador em uso.

PROTEGER - Estabelecer medidas de proteção contra ataques cibernéticos.

O principal objetivo de “Proteger” é minimizar a escala e a frequência de possíveis incidentes cibernéticos. Os requisitos relacionados à implementação das medidas de proteção necessárias são especificados. Um aspecto particularmente importante é a “segmentação” das redes conectadas em uma rede. Segmentação significa dividir os sistemas de computador com base em sua finalidade e importância crítica no projeto da rede.

DETECTAR - Implementar medidas para detectar incidentes cibernéticos a bordo.

O principal objetivo de “Detectar” é identificar ataques. Especificamente, envolve o monitoramento da operação da rede e a garantia da eficácia das funções de segurança a bordo. Durante as operações normais, é realizada uma verificação funcional periódica e, em caso de anomalias, são acionados alarmes para permitir o reconhecimento precoce de ataques cibernéticos ou outras ameaças que o proprietário do ativo tenha enfrentado.

RESPONDER - Estabelecer um protocolo para responder aos ataques cibernéticos detectados.

O principal objetivo de “Responder” é examinar e implementar meios para minimizar o impacto dos incidentes cibernéticos detectados. Especificamente, isso requer a criação de um plano de resposta a incidentes que especifique como responder a incidentes e agir de acordo com esse plano.

RECUPERAR - Adotar procedimentos para recuperar quaisquer capacidades e/ou serviços prejudicados por um incidente cibernético.

O principal objetivo de “Recuperar” é retornar ao estado operacional após uma interrupção ou falha causada por um incidente cibernético. Ao planejar e implementar um plano de recuperação de acordo com esses requisitos, os sistemas de segurança da informação (CBSs) e as redes podem ser rapidamente restaurados. No plano de recuperação, “funções e procedimentos para o pessoal na recuperação de um incidente cibernético” e “gestão de backups, incluindo manutenção e testes” devem ser desenvolvidos com base na política cibernética da empresa.

GOVERNAR – Criar e manter estruturas e processos de governança para gerenciar riscos de segurança cibernética dentro de uma organização de forma eficiente.

Isso envolve a elaboração e aplicação de políticas, procedimentos e mecanismos de supervisão para garantir que as iniciativas de segurança cibernética estejam alinhadas com os objetivos de negócios e cumpram as normas regulatórias. As principais atividades incluem a definição de funções e responsabilidades, a implementação de estruturas de gestão de riscos, a realização de avaliações regulares de riscos cibernéticos e a promoção de uma cultura de conscientização e responsabilidade em segurança cibernética em toda a organização.