Tarefas do NIST Framework

As cinco funções da estrutura básica são apresentadas abaixo. Essas funções não se destinam a formar um caminho sequencial ou levar a um estado final engessado. Em vez disso, as funções devem ser executadas simultânea e continuamente para criar uma cultura operacional que lide com o risco dinâmico da segurança cibernética.

1. Identificar (Identify): desenvolver uma compreensão organizacional para gerenciar o risco de segurança cibernética no que tange a sistemas, pessoas, ativos, dados e recursos. A partir da compreensão do contexto de seu nicho, dos recursos que suportam as funções críticas e dos riscos de segurança cibernética envolvidos, uma organização é capaz de focar e priorizar seus esforços de forma consistente com sua estratégia de gerenciamento de riscos e demandas empresariais. Os exemplos de categorias de resultados dentro desta função incluem:

• Gerenciamento de ativos: os dados, pessoal, dispositivos, sistemas e instalações que permitem que a organização atinja objetivos de negócio são identificados e gerenciados de maneira consistente com sua importância relativa para os objetivos organizacionais e a estratégia de risco da organização.
• Ambiente empresarial: a missão, objetivos, stakeholders e atividades da organização são compreendidas e priorizadas. Essas informações serão usadas para informar funções, responsabilidades e decisões de gerenciamento de riscos da segurança cibernética.
• Governança: as políticas, procedimentos e processos para gerenciar e monitorar os requisitos regulatórios, jurídicos, de risco, ambientais e operacionais da organização são compreendidos e informam gerenciamento do risco de segurança cibernética.
• Avaliação de risco: a organização entende o risco de segurança cibernética para operações organizacionais (incluindo missão, funções, imagem ou reputação), ativos organizacionais e indivíduos. São realizadas avaliações de vulnerabilidades para identificar fraquezas nos sistemas. Podem ser utilizadas ferramentas de varredura de vulnerabilidades e auditorias de segurança regulares. É importante manter-se atualizado sobre as ameaças atuais, como novos tipos de malware, táticas de hackers e vulnerabilidades emergentes. Participar de comunidades de segurança, consultar fontes confiáveis e avaliar relatórios de incidentes. Determinar o impacto potencial de ameaças em seus ativos críticos. Isso envolve a identificação de quais ativos são mais vitais para suas operações e a análise de como sua perda afetaria a organização. A partir daí, elaborar a classificação e as respostas aos riscos.
• Estratégia de gerenciamento de risco: as prioridades, restrições, tolerâncias de risco e suposições da organização são estabelecidas e usadas para apoiar as decisões de risco operacional.

2. Proteger (Protect): desenvolver e implementar proteções necessárias para garantir a prestação de serviços críticos. A função proteger fornece apoio à capacidade de limitar ou conter o impacto de uma possível ocorrência de segurança cibernética. Os exemplos de categorias de resultados dentro dessa função incluem:

• Controle de acesso: o acesso a ativos físicos e lógicos e recursos associados é limitado a usuários, processos e dispositivos autorizados, e é gerenciado de maneira consistente com o risco avaliado de acesso não autorizado a atividades e transações autorizadas. Implemente políticas de controle de acesso, como a autenticação de dois fatores, gerenciamento de senhas fortes e controles de acesso baseados em função. Isso restringirá o acesso apenas a pessoas autorizadas.
• Gerenciamento de identidade: utilize sistemas de gerenciamento de identidade para criar, manter e revogar credenciais de acesso. Isso garantirá que apenas pessoas autorizadas tenham acesso aos recursos.
• Conscientização e treinamento: os funcionários e parceiros da organização são treinados sobre a conscientização sobre segurança cibernética e são treinados para executar suas obrigações e responsabilidades relacionadas à segurança cibernética, de acordo com os procedimentos e acordos relacionados. Realizar treinamentos regulares de conscientização em segurança cibernética para educar os funcionários sobre as ameaças e boas práticas ajudará a reduzir o risco de ataques de engenharia social.
• Segurança de dados: as informações e os registros (dados) são gerenciados de maneira consistente com a estratégia de risco da organização para proteger a confidencialidade, a integridade e a disponibilidade de informações.
• Processos e procedimentos de proteção da informação: as políticas de segurança (que abordam a finalidade, o escopo, as funções, as responsabilidades, o compromisso de gerenciamento e a coordenação entre as entidades organizacionais), processos e procedimentos são mantidas e usadas para gerenciar a proteção de sistemas e ativos de informações.
• Manutenção: a manutenção e os reparos de componentes de sistemas de controle e informações industriais são executados de acordo com políticas e procedimentos. Mantenha sistemas e aplicativos adequadamente configurados e atualizados. Utilize políticas de configuração e automação de gerenciamento de configuração para manter a consistência.
• Tecnologia de proteção: as soluções de segurança técnica são gerenciadas para garantir a segurança e resiliência de sistemas e ativos, consistentes com políticas, procedimentos e acordos relacionados.

3. Detectar (Detect): desenvolver e implementar atividades necessárias para identificar a ocorrência de um evento de segurança cibernética. A função detectar permite a descoberta oportuna de ocorrências de segurança cibernética. Os exemplos de categorias de resultados dentro dessa função incluem:

• Anomalias e ocorrências: atividade anômala é detectada e o impacto potencial dos eventos é compreendido.
• Monitoramento contínuo de segurança: o sistema de informação e os ativos são monitorados para identificar incidentes de segurança cibernética e verificar a eficácia das medidas de proteção. Implementar ferramentas de monitoramento de segurança que alertem sobre atividades suspeitas em tempo real. Isso pode incluir sistemas de detecção de intrusões, registros de eventos e monitoramento de rede.
• Processos de Detecção: os processos e procedimentos de detecção são mantidos e testados para garantir a conscientização sobre eventos anômalos. Significa desenvolver processos para analisar eventos de segurança em tempo real e determinar se são incidentes reais. Criar regras e procedimentos para identificar atividades anômalas.

4. Responder (Respond): desenvolver e implementar atividades apropriadas para agir contra um incidente de segurança cibernética detectado. A função responder suporta a capacidade de conter o impacto de um possível incidente de segurança cibernética. Exemplos de categorias de resultados dentro dessa função incluem:

• Planejamento de resposta: os processos e procedimentos de resposta são executados e mantidos para garantir a resposta a incidentes de segurança cibernética detectados. Desenvolva planos de resposta a incidentes que definam funções e responsabilidades, procedimentos de notificação, comunicação com partes interessadas e ações para conter o incidente.
• Comunicações: as atividades de resposta são coordenadas com stakeholders internos e externos (por exemplo, apoio externo de órgãos fiscalizadores). Crie um protocolo de comunicação para notificar as partes interessadas sobre um incidente de segurança. Isso pode incluir reguladores, clientes e a equipe de resposta a incidentes.
• Análise: a análise é realizada para garantir resposta eficaz e dar apoio às atividades de recuperação.
• Mitigação: as atividades são realizadas para impedir a expansão de um evento, atenuar seus efeitos e resolver o incidente.
• Aperfeiçoamentos: as atividades de resposta organizacionais são aperfeiçoadas pela incorporação de lições aprendidas de atividades anteriores de detecção/resposta.

5. Recuperar (Recover): desenvolver e implementar atividades apropriadas para manter planos de resiliência e restaurar quaisquer recursos ou serviços que foram prejudicados devido a um incidente de segurança cibernética. A função recuperar oferece apoio ao restabelecimento pontual para as operações normais de modo a reduzir o impacto de determinado incidente de segurança cibernética. Os exemplos de categorias de resultados dentro dessa função incluem:

• Planejamento de recuperação: os processos e procedimentos de recuperação são executados e mantidos para garantir a restauração de sistemas ou ativos afetados por incidentes de segurança cibernética. Desenvolva planos de continuidade de negócios que garantam que a organização possa continuar a operar após um incidente. Isso pode envolver o uso de data centers de recuperação de desastres, locais alternativos de trabalho etc.
• Aperfeiçoamentos: o planejamento e os processos de recuperação são aperfeiçoados pela incorporação de lições aprendidas em atividades futuras.
• Comunicações: as atividades de restauração são coordenadas com partes internas e externas (por exemplo, centros de coordenação, provedores de serviços de Internet, proprietários de sistemas de ataque, vítimas, outras CSIRTs e fornecedores).