Introdução
A estrutura para a melhoria da segurança cibernética em infraestruturas críticas, mais conhecida em inglês como NIST Cybersecurity Framework, foi emitida inicialmente nos Estados Unidos em fevereiro de 2014. Atualmente, encontra-se disponível a versão 1.1, lançada em abril de 2018.
A orientação da estrutura é ajudar as empresas de todos os tamanhos a compreender, gerir e reduzir os riscos cibernéticos e proteger as suas redes e dados, proporcionando uma linguagem comum e um resumo das melhores práticas em cibersegurança.
National Institute of Standards and Technology
Aplicabilidade: A estrutura é aplicável a organizações que dependem da tecnologia, quer o seu enfoque de segurança cibernética seja principalmente em tecnologia da informação (TI), sistemas de controlo industrial (ICS), sistemas ciberfísicos (CPS) ou dispositivos conectados em geral, incluindo a Internet das Coisas (IoT).
Estrutura: A estrutura é composta por três partes: o Núcleo da Estrutura, os Níveis de Implementação e os Perfis da Estrutura.
O Núcleo da Estrutura é um conjunto de funções e atividades de segurança cibernética, resultados esperados e referências informativas que são comuns em todos os setores e na infraestrutura crítica. O Núcleo da Estrutura é composto por cinco Funções simultâneas e contínuas: Identificar, Proteger, Detetar, Responder e Recuperar. Quando consideradas em conjunto, estas Funções proporcionam uma visão estratégica de alto nível do ciclo de vida do processo de gestão de riscos da segurança cibernética de uma organização. Cada Função é composta por categorias, cada categoria é dividida, por sua vez, em subcategorias e cada subcategoria é acompanhada de referências normativas a outras estruturas ou normas (ISO 27001, CobiT 5, NIST SP-83, ISA62443, entre outros) nas quais se encontra um maior nível de detalhe para a implementação dos controlos de segurança cibernética referidos.
A seguir, apresenta-se cada Função com as suas respetivas categorias:
| Identificador único de função | Função | Identificador único de categoria | Categoria |
| ID | Identificar | ID. AM | Gestão de ativos |
| ID. BE | Ambiente empresarial | ||
| ID. GV | Governança | ||
| ID. RA | Avaliação de riscos | ||
| ID. RM | Estratégia de gestão de riscos | ||
| ID. SC | Gestão do risco da cadeia de fornecimento | ||
| PR | Proteger | PR. AC | Gestão de identidade e controlo de acesso |
| PR. AT | Consciencialização e capacitação | ||
| PR. DS | Segurança de dados | ||
| PR. IP | Processos e procedimentos de proteção da informação | ||
| PR. MA | Manutenção | ||
| PR. PT | Tecnologia produtora | ||
| DE | Detetar | DE. AE | Anomalias e eventos |
| DE. CM | Vigilância contínua de segurança | ||
| DE. DP | Processos de deteção | ||
| RS | Responder | RS. RP | Comunicações |
| RS. CO | Análise | ||
| RS. AN | Análise | ||
| RS. MI | Mitigação | ||
| RS. IM | Melhorias | ||
| RC | Recuperar | RC. RP | Planificação de recuperação |
| RC. IM | Melhorias | ||
| RC.CO | Comunicações |
Os Níveis de Implementação do NIST proporcionam um mecanismo para que as organizações possam ver e compreender as características da sua abordagem para gerir o risco de segurança cibernética, o que ajudará a priorizar e a alcançar os objetivos da segurança cibernética. A estrutura considera 4 níveis, desde o mais fraco até ao mais robusto: Parcial, Risco informado, Repetível e Adaptativo.
O nível é determinado com base em 3 atributos (Processo de gestão de riscos, integração da gestão de riscos e Participação externa) e as características de cada um deles que se apreciam na seguinte imagem:
| Parcial | Informado | Repetível | Adaptativo |
| Não formalizado Ad-hoc Reativo |
Processos aprovados, mas poderão não ser estabelecidos como políticas de toda a organização
Atividades de cibersegurança baseadas em objetivos de risco |
Processos aprovados e expressos como políticas
Atividades de cibersegurança atualizadas regularmente com base em alterações no perfil de risco |
Melhoria contínua que inclui lições aprendidas e indicadores preditivos.
A organização adapta-se continuamente a um panorama de ameaças e tecnologias em constante mudança e responde de forma eficaz |
| Parcial | Informado | Repetível | Adaptativo |
| Consciencialização limitada sobre riscos A organização implementa a gestão do risco de segurança cibernética de forma irregular, caso a caso |
Existe consciencialização do risco de segurança cibernética a nível organizacional É realizada uma avaliação de riscos, mas NÃO é recorrente |
Foram definidos e implementados políticas e procedimentos Existe uma abordagem consistente para monitorizar e gerir o risco Existe pessoal competente A alta direção comunica regularmente sobre ciber-riscos |
A gestão de riscos de cibersegurança faz parte da cultura organizacional. Existe alinhamento entre riscos de segurança e os objetivos do negócio, O risco é monitorizado como qualquer outro tipo de risco (p. ex., Risco Operacional) O orçamento da organização baseia-se na compreensão do ambiente ao risco atual e previsto e na sua tolerância ao risco |
| Parcial | Informado | Repetível | Adaptativo |
| A organização NÃO colabora, nem recebe/partilha informações com outras entidades Desconhecem-se os riscos da CS |
A organização colabora e recebe alguma informação de outras entidades, mas não partilha.. É consciente dos riscos da CS, mas não atua de forma consistente sobre esses riscos. |
A organização recebe e partilha informações com outras entidades. É consciente dos riscos da CS e atua de forma consistente sobre esses riscos. |
Utiliza informações em tempo real ou quase em tempo real para compreender e atuar de forma coerente sobre os riscos de CS. Comunica de maneira proativa, utilizando mecanismos formais e informais para desenvolver e manter relações sólidas da CS. |
Por último, o Perfil representa os resultados que se baseiam nas necessidades empresariais que uma organização selecionou das categorias e subcategorias da Estrutura. O Perfil pode ser caraterizado como o alinhamento de normas, diretrizes e práticas com o Núcleo da Estrutura num cenário de implementação particular.
De forma mais coloquial, pode dizer-se que o Perfil é uma “fotografia” no tempo que mostra o estado atual (ou o nível de estado desejado) de cibersegurança numa organização ou unidade de negócio. A diferença entre o perfil do estado atual e o perfil de estado desejado permitirá construir uma folha de rota priorizada para a implementação.
7 passos para seguir a folha de rota da estrutura NIST
- Priorização e Alcance. A organização identifica os seus objetivos empresariais ou de missão e as prioridades organizacionais de alto nível. Com esta informação, a organização toma decisões estratégicas relativamente às implementações de segurança cibernética e determina o alcance dos sistemas e ativos que suportam a linha ou o processo comercial selecionado.
- Orientação. A organização identifica os sistemas e ativos relacionados, os requisitos regulamentares e o enfoque de risco geral. A organização consulta, em seguida, as fontes para identificar as ameaças e vulnerabilidades aplicáveis a esses sistemas e ativos.
- Perfil Atual. A organização desenvolve um Perfil Atual no qual indica que resultados de categoria e subcategoria do Núcleo da Estrutura estão a ser alcançados atualmente. Se um resultado for alcançado parcialmente, tomar nota deste facto ajudará a suportar os passos posteriores, ao proporcionar informação de referência.
- Avaliação de riscos. Esta avaliação pode ser orientada pelo processo de gestão de riscos geral da organização ou por atividades prévias de avaliação de riscos. A organização analisa o ambiente operacional para discernir a probabilidade de um evento de segurança cibernética e o impacto que o evento poderá ter na organização. É importante que as organizações identifiquem os riscos emergentes e utilizem a informação de ameaças de segurança cibernética de fontes internas e externas para obter uma melhor compreensão do risco associado aos eventos de segurança cibernética.
- Perfil Desejado. A organização cria um Perfil Objetivo que se centra na avaliação das Categorias e Subcategorias da Estrutura que descrevem os resultados desejados de segurança cibernética da organização. A organização pode também considerar as influências e os requisitos das partes interessadas externas, como as entidades do setor, os clientes e os parceiros empresariais, ao criar um Perfil desejado.
- Determinar, analisar e priorizar lacunas. A organização compara o Perfil Atual e o Perfil Desejado para determinar as lacunas. Em seguida, cria um plano de ação priorizado para abordar as lacunas (que refletem os impulsionadores, os custos e os benefícios e os riscos da missão) para alcançar os resultados no Perfil Objetivo. Depois, a organização determina os recursos necessários para abordar as lacunas, que incluem os fundos e a força de trabalho. A utilização de Perfis desta forma incentiva a organização a tomar decisões informadas sobre as atividades de segurança cibernética, suporta a gestão de riscos e permite que a organização realize melhorias específicas e rentáveis.
- Implementar plano de ação. A organização determina que ações tomar para abordar as lacunas, se existirem, identificadas no passo anterior e, em seguida, ajusta as suas práticas atuais de segurança cibernética para alcançar o Perfil Objetivo. Para fornecer mais orientação, a Estrutura identifica exemplos de referências informativas sobre as Categorias e Subcategorias, mas as organizações devem determinar que normas, diretrizes e práticas, incluindo aquelas que são específicas do setor, funcionam melhor para as suas necessidades.
Desde a GlobalSUITE Solutions, através da nossa ferramenta GlobalSuite Information Security, acompanhamos o lançamento e a implementação da framework NIST CSF para clientes interessados na sua implementação.
