Dentre as várias atribuições da área de Segurança da Informação, a proteção das informações e das tecnologias aplicadas de forma a agilizar os negócios é extremamente relevante nos dias atuais, onde as transações, comunicações e gestão são baseadas predominantemente no mundo digital.

Sendo assim, várias ferramentas são desenvolvidas, certificações pessoais e corporativas são disseminadas e metodologias são geradas para que o trabalho seja realizado de forma profissional e efetiva e, entre vários segmentos e opções, destaca-se o NIST Cybersecurity Framework, desenvolvido pelo NIST com ênfase na proteção de infra-estrutura crítica de Tecnologia da Informação.

Este framework determina, como pilares, os seguintes conceitos:

1

  • Descrever a postura atual de cibersegurança;
  • Descrever o nível de cibersegurança a ser atingido;
  • Identificar e priorizar oportunidades de melhoria de forma a estabelecer processos contínuos e que possam ser repetidos;
  • Medir e avaliar o progresso da maturidade de segurança em relação ao estado inicial;
  • Comunicação aos responsáveis internos e externos a respeito dos riscos conhecidos ao negócio

O chamado Framework Core serve como guia para guiar a organização nos processos e subprocessos que levarão à maturidade desejada, o aumento da segurança e diminuição dos riscos, a seguir:

2

O ciclo compreende identificar (ID), proteger (PR), detectar (DE), responder (RS) e recuperar (RC) com base nas categorias (domínios, como Gestão de Acesso, por exemplo), subcategorias (Gestão de Acesso a Servidores) e referências informativas, buscando catalogar todos os processos críticos relevantes para que, a partir disso, definir o mapa de riscos e as ações a serem tomadas para estabelecer ou melhorar a segurança do perímetro.

framework ainda estabelece os passos necessários para um efetivo programa de cibersegurança, onde definição de prioridades e escopo formam a base; orientação ou programas de conscientização moldam a cultura de Segurança da Informação; definição de perfil, onde as fortalezas e fraquezas são mapeadas e dão uma noção de onde deve ser atacado em termos de ações de melhoria; condução de avaliação de riscos, onde a própria gestão de riscos é implementada; e definição do alvo a ser atingido (diretamente ligado à definição de perfil atual).

Evidentemente há ainda a necessidade de ações que são comuns a outros frameworks e boas práticas, como apoio da Alta Direção, definição de cadeia de fornecedores e parceiros, entre outros.

Enfim, esta é uma valiosa e poderosa ferramenta que pode transformar uma organização do ponto de vista de maturidade de Segurança da Informação e Proteção de Dados, desde que seja minuciosamente analisada e implementada de forma adaptada e em função do negócio (é um material relativamente conciso, mas muito profundo e que demanda senioridade para sua interpretação e correlação com os processos críticos do negócio).

Fonte: Blog do Rodrigo Magdalena (https://rmagdalena.wordpress.com/2018/07/24/nist-cybersecurity-framework/)