NIST

---

O National Institute of Standards and Technology (NIST) é uma agência não reguladora que promove a inovação por meio do avanço da ciência, padrões e tecnologia de mediação. O NIST Cybersecurity Framework (NIST CSF) consiste em padrões, diretrizes e práticas recomendadas que ajudam as organizações a melhorar seu gerenciamento de riscos de segurança cibernética.

O NIST CSF foi projetado para ser flexível o suficiente para se integrar aos processos de segurança existentes em qualquer organização, em qualquer setor. Ele fornece um excelente ponto de partida para implementar segurança da informações e gerenciamento de riscos de segurança cibernética em praticamente qualquer organização do setor privado nos Estados Unidos.

---

Camadas de implementação do NIST Framework

Para ajudar as organizações do setor privado a medir seu progresso na implementação do NIST Cybersecurity Framework, o framework identifica quatro níveis de implementação:

• Nível 1 - Parcial: a organização está familiarizada com o NIST CSF e pode ter implementado alguns aspectos de controle em algumas áreas da infraestrutura. A implementação de atividades e protocolos de segurança cibernética foi reativa versus planejada. A organização tem consciência limitada dos riscos de segurança cibernética e carece de processos e recursos para permitir a segurança da informação.

• Nível 2 - Risco informado: a organização está mais ciente dos riscos de segurança cibernética e compartilha informações informalmente. Falta um processo de gerenciamento de riscos de segurança cibernética planejado, repetível e proativo em toda organização.

• Nível 3 - Repetido: a organização e seus executivos seniores estão cientes dos riscos de segurança cibernética. Eles implementaram um plano repetido de gerenciamento de riscos de segurança cibernética em toda a organização. A equipe de segurança cibernética criou um plano de ação para monitorar e responder de forma eficaz aos ataques cibernéticos.

• Nível 4 - Adaptativo: a organização agora é resiliente cibernética e usa lições aprendidas e indicadores preditivos para evitar ataques cibernéticos. A equipe de segurança cibernética melhora e aprimora continuamente as tecnologias e práticas de segurança cibernética da organização e se adapta às mudanças nas ameaças de maneira rápida e eficiente. Existe uma abordagem em toda organização para o gerenciamento de riscos de segurança de cibernética nas decisões orçamentárias e na cultura organizacional.

---

Estabelecendo um programa de gerenciamento de riscos de segurança cibernética do NIST Framework

O NIST Cybersecurity Framework fornece um guia passo a passo sobre como estabelecer ou melhorar seu programa de gerenciamento de riscos de segurança de informações:

1. Priorizar e definir escopo: crie uma ideia clara sobre o escopo do projeto e identifique prioridades. Estabeleça os objetivos de negócios ou missão de alto nível, as necessidades de negócios e determine a tolerância da organização.
2. Orientar: faça um balanço dos ativos e sistemas da organização e identifique os regulamentos aplicáveis, a abordagem de risco e as ameaças às quais a organização pode estar exposta.
3. Criar um perfil atual: um perfil atual é uma captura instantânea de como a organização está gerenciando o risco no momento, conforme definido pelas categorias e subcategorias do CSF.
4. Conduzir uma avaliação de risco: avalie o ambiente operacional, riscos emergentes e informações sobre ameaças à segurança cibernética para determinar a probabilidade e a gravidade de um evento de segurança cibernética que pode afetar a organização.
5. Criar um perfil de destino: um perfil de destino representa o objetivo de gerenciamento de riscos da equipe de segurança de informações.
6. Determine, analise e priorize lacunas: ao identificar as lacunas entre o perfil atual e o de destino, a equipe de segurança de informações pode criar um plano de ação, incluindo marcos mensuráveis e recursos (pessoas, orçamento, tempo) necessários para preencher essas lacunas.
7. Implementar plano de ação: implemente o plano de ação definido na Etapa 6.