O National Institute of Standards and Technology (NIST) é uma agência não reguladora que promove a inovação por meio do avanço da ciência, padrões e tecnologia de medição. O NIST Cybersecurity Framework (NIST CSF) consiste em padrões, diretrizes e práticas recomendadas que ajudam as organizações a melhorar seu gerenciamento de riscos de segurança cibernética.
O NIST CSF foi projetado para ser flexível o suficiente para se integrar aos processos de segurança existentes em qualquer organização, em qualquer setor. Ele fornece um excelente ponto de partida para implementar segurança da informações e gerenciamento de riscos de segurança cibernética em praticamente qualquer organização do setor privado nos Estados Unidos.
Em 12 de fevereiro de 2013, foi emitida a Ordem Executiva (EO) 13636: "Improving Critical Infrastructure Cybersecurity". Isto iniciou o trabalho do NIST com o setor privado dos EUA para "identificar padrões de consenso voluntários existentes e melhores práticas da indústria para incorporá-los em uma Estrutura de Segurança Cibernética". O resultado dessa colaboração foi o NIST Cybersecurity Framework Versão 1.0.
O Cybersecurity Enhancement Act (CEA) de 2014 ampliou os esforços do NIST no desenvolvimento do Cybersecurity Framework. Hoje, o NIST CSF ainda é uma das estruturas de segurança mais amplamente adotadas em todos os setores dos EUA.
O NIST Cybersecurity Framework inclui funções, categorias, subcategorias e referências informativas.
As funções fornecem uma visão geral dos protocolos de segurança de melhores práticas. As funções não devem ser etapas processuais, mas devem ser executadas “simultaneamente e continuamente para formar uma cultura operacional que aborde o risco dinâmico de segurança cibernética”. Categorias e subcategorias fornecem planos de ação mais concretos para departamentos ou processos específicos dentro de uma organização.
Exemplos de funções e categorias do NIST incluem o seguinte:
As referências informativas do NIST CSF estabelecem correlação direta entre as funções, categorias, subcategorias e os controles de segurança específicos de outras estruturas. Essas estruturas incluem o Center for Internet Security (CIS) Controls®, COBIT 5, International Society of Automation (ISA) 62443-2-1:2009, ISA 62443-3-3:2013, International Organization for Standardization e International Electrotechnical Commission 27001:2013 e NIST SP 800-53 Rev. 4.
O NIST CSF não informa como inventariar os dispositivos e sistemas físicos ou como inventariar as plataformas de software e aplicativos; apenas fornece uma lista de verificação de tarefas a serem concluídas. Uma organização pode escolher seu próprio método de como realizar o inventário. Se uma organização precisar de orientação adicional, ela pode consultar as referências informativas aos controles relacionados em outras normas complementares. Há muita liberdade no CSF para escolher as ferramentas que melhor atendem às necessidades do gerenciamento de riscos de segurança cibernética de uma organização.
Para ajudar as organizações do setor privado a medir seu progresso na implementação do NIST Cybersecurity Framework, o framework identifica quatro níveis de implementação:
O NIST Cybersecurity Framework fornece um guia passo a passo sobre como estabelecer ou melhorar seu programa de gerenciamento de riscos de segurança de informações:
Os serviços de governança, risco e conformidade da IBM ajudam você a avaliar sua governança de segurança existente em relação aos seus requisitos e objetivos de negócios.
Em um nível fundamental, a segurança de rede é a operação de proteção de dados, aplicativos, dispositivos e sistemas conectado à rede.
A tecnologia de segurança cibernética e as melhores práticas protegem sistemas importantes e informações confidenciais de um volume cada vez maior de ameaças em constante mudança.