O que é o NIST Cybersecurity Framework?
O National Institute of Standards and Technology (NIST) faz parte do Departamento de Comércio dos EUA e a sua missão é promover a inovação e a competitividade industrial dos EUA, fazendo avançar a ciência da medição, as normas e a tecnologia de formas que melhoram a segurança económica e a nossa qualidade de vida.
O NIST Cybersecurity Framework foi concebido para ajudar organizações de todas as dimensões e setores (incluindo a indústria, o governo, as universidades e as organizações sem fins lucrativos) a gerir e a reduzir os seus riscos de cibersegurança. É útil independentemente do nível de maturidade e da sofisticação técnica dos programas de cibersegurança de uma organização. No entanto, o CSF não adota uma abordagem única. Cada organização tem riscos comuns e únicos, bem como apetites e tolerâncias ao risco variáveis, missões específicas e objetivos para alcançar essas missões. Necessariamente, a forma como as organizações implementam o CSF irá variar.
O que é o NIST Cybersecurity Framework versão 2.0?
O NIST Cybersecurity Framework (CSF) 2.0 foi publicado a 26 de fevereiro de 2024. Com base nas versões anteriores, o NIST CSF 2.0 contém novas funcionalidades que realçam a importância da governação e das cadeias de abastecimento. É dada especial atenção para garantir que o CSF seja relevante e facilmente acessível tanto por organizações menores como pelas suas congéneres maiores.
O NIST CSF 2.0 descreve resultados de cibersegurança de alto nível que podem ser usados por qualquer organização para compreender, avaliar, priorizar e comunicar melhor os seus esforços de cibersegurança. O CSF não prescreve como os resultados devem ser alcançados. Em vez disso, liga a recursos online que fornecem orientação adicional sobre práticas e controlos que podem ser utilizados para alcançar esses resultados.
Quais são as principais funções do NIST Cybersecurity Framework versão 2.0?
As principais funções do NIST Cybersecurity Framework 2.0 são Governar, Identificar, Proteger, Detetar, Responder e Recuperar. Estas seis funções fornecem uma abordagem estruturada para gerir o risco de cibersegurança ao longo do ciclo de vida de uma organização.
Segue-se uma análise mais pormenorizada de cada função:
- GOVERNAR (GV):
A estratégia, as expectativas e a política de gestão de riscos de cibersegurança da organização são estabelecidas, comunicadas e monitorizadas. A função GOVERNAR fornece resultados para informar o que uma organização pode fazer para alcançar e priorizar os resultados das outras cinco Funções no contexto da sua missão e das expectativas das partes interessadas. As atividades de governação são fundamentais para incorporar a cibersegurança na estratégia mais ampla de gestão de riscos empresariais (ERM) de uma organização. A função GOVERNAR aborda a compreensão do contexto organizacional, o estabelecimento da estratégia de cibersegurança e da gestão de riscos da cadeia de abastecimento de cibersegurança, os papéis, as responsabilidades e as autoridades, a política e a supervisão da estratégia de cibersegurança. - Identificar (ID):
Os atuais riscos de cibersegurança da organização são compreendidos. A compreensão dos ativos da organização (por exemplo, dados, hardware, software, sistemas, instalações, serviços, pessoas), dos fornecedores e dos riscos de cibersegurança relacionados permite que uma organização priorize os seus esforços de acordo com a sua estratégia de gestão de riscos e as necessidades da missão identificadas na função GOVERNAR. Esta função inclui também a identificação de oportunidades de melhoria para as políticas, planos, processos, procedimentos e práticas da organização que suportam a gestão do risco de cibersegurança para informar os esforços no âmbito das seis funções. - Proteger (PR):
São utilizadas salvaguardas para gerir os riscos de cibersegurança da organização. Uma vez identificados e priorizados os ativos e os riscos, a função PROTEGER suporta a capacidade de proteger esses ativos para prevenir ou diminuir a probabilidade e o impacto de eventos adversos de cibersegurança, bem como para aumentar a probabilidade e o impacto do aproveitamento de oportunidades. Os resultados abrangidos por esta função incluem gestão de identidade, autenticação e controlo de acesso, sensibilização e formação, segurança de dados, segurança da plataforma (ou seja, proteger o hardware, o software e os serviços de plataformas físicas e virtuais) e a resiliência da infraestrutura tecnológica. - Detetar (DE):
São encontrados e analisados possíveis ataques e comprometimentos de cibersegurança. A função DETETAR permite a deteção e análise atempada de anomalias, indicadores de comprometimento e outros eventos potencialmente adversos que possam indicar a ocorrência de ataques e incidentes de cibersegurança. Esta função suporta as atividades bem-sucedidas de resposta e recuperação de incidentes. - Responder (RS):
São tomadas medidas relativamente a um incidente de cibersegurança detetado. A função RESPONDER suporta a capacidade de conter os efeitos de incidentes de cibersegurança. Os resultados desta função abrangem a gestão de incidentes, a análise, a mitigação, a elaboração de relatórios e a comunicação. - Recuperar:
Os ativos e as operações afetados por um incidente de cibersegurança são restaurados. A função RECUPERAR ajuda na restauração atempada das operações normais para reduzir os efeitos de incidentes de cibersegurança e permitir a comunicação adequada durante os esforços de recuperação.
Que organizações podem usar o NIST CSF 2.0?
A estrutura NIST CSF 2.0 foi desenvolvida com foco em setores vitais para a segurança nacional e económica, incluindo energia, banca, comunicações e defesa. Desde então, provou ser suficientemente flexível para ser adotada voluntariamente por grandes e pequenas empresas e organizações em todos os setores da indústria, bem como por governos federais, estatais e locais.
Quais são as penalidades por não conformidade com o NIST CSF 2.0?
A adesão ao NIST Cybersecurity Framework 2.0 é voluntária. No entanto, a prova de que uma organização segue as melhores práticas do NIST Framework pode fornecer uma camada de defesa contra multas por regulamentos como o RGPD, demonstrando os esforços de boa-fé de uma organização em segurança da informação.
Como é que a Thales ajuda na conformidade com o NIST CSF 2.0?
A Thales pode ajudar as organizações a cumprir os requisitos do NIST CSF 2.0, abordando os requisitos essenciais de cibersegurança e automatizando a segurança, reduzindo a carga sobre as equipas de segurança e conformidade. Saiba mais aqui.
Outros regulamentos importantes em matéria de segurança e proteção de dados
PCI HSM
MANDATO | EM VIGOR
A especificação PCI HSM define um conjunto de normas de conformidade lógica e física de segurança para HSMs especificamente para o setor de pagamentos. A certificação de conformidade com o PCI HSM depende do cumprimento dessas normas.
DORA
REGULAMENTO | EM VIGOR
O DORA visa reforçar a segurança informática das entidades financeiras para garantir que o sector financeiro na Europa seja resiliente face ao crescente volume e gravidade dos ciberataques.
Leis de notificação de violação de dados
REGULAMENTO | EM VIGOR
Os requisitos de notificação de violação de dados na sequência da perda de informações pessoais foram adoptados por países de todo o mundo. Estes variam consoante à jurisdição, mas quase sempre incluem uma cláusula de "porto seguro".
GLBA
REGULAMENTO | EM VIGOR
A Lei Gramm-Leach-Bliley (GLBA) — também conhecida como a Lei de Modernização dos Serviços Financeiros de 1999 — exige que as instituições financeiras expliquem aos seus clientes as suas práticas de partilha de informações e salvaguardem dados confidenciais.