Por que devo adotar o NIST Cybersecurity Framework?

Por Rodrigo Belone, Consultor de Soluções

Primeiro, vamos dar um passo atrás e listar os problemas de segurança cibernética que provavelmente estão em primeiro lugar.

1. Você se preocupa com riscos e vulnerabilidades invisíveis.
2. Você não tem um inventário preciso dos ativos que precisam ser protegidos.
3. Sua equipe gasta muito esforço perseguindo itens que não terão impacto, enquanto você gostaria que eles se concentrassem no risco real.
4. Você quer saber como lidar com itens de risco com suas ferramentas atuais e o que está disponível no mercado.
5. Seus colegas fora da equipe de segurança não entendem o risco cibernético e, portanto, não conseguem entender tarefas críticas de mitigação.
6. Seu conselho está começando a perguntar sobre a quantificação dos resultados de redução de risco do plano estratégico de segurança cibernética que sua equipe está executando. “Estamos em conformidade com o NIST?”

A estrutura pode ajudá-lo com esses desafios. Com ela você será capaz de alavancar os aprendizados de pessoas que abordaram com sucesso problemas semelhantes.

O objetivo da estrutura é ajudá-lo a priorizar investimentos e decisões em segurança cibernética, além de raciocinar sobre a maturidade do seu programa e fornecer uma estrutura para conversas com as partes interessadas, incluindo a alta administração e seu conselho de administração.

Usando o pacote de aplicativos do NIST no ARCHER

O pacote de aplicativos Archer NIST- Aligned Cybersecurity Framework fornece diretrizes diretas para abordar e gerenciar riscos de segurança cibernética. Os proprietários de perfis podem catalogar o estado atual, priorizar e definir o escopo dos elementos do perfil e definir seus resultados de estado desejados ou direcionados para o programa de segurança cibernética de sua organização.

Os avaliadores, então, avaliam esses perfis em relação às categorias do Cybersecurity Framework. Avaliações anteriores podem ser arquivadas para comparação com o perfil atual e medir o progresso. Relatórios e painéis fornecem uma visão clara do estado atual da segurança cibernética e do progresso que está sendo feito em direção ao estado desejado de segurança cibernética.

Com a oferta do Archer NIST- Aligned Cybersecurity Framework, agências governamentais e empresas do setor privado podem avaliar e medir sua postura de segurança cibernética, abordar lacunas e relatar a postura de segurança cibernética de uma maneira significativa que seja compreendida por todas as partes interessadas.

Benefícios

• A metodologia concisa permite que as organizações entendam como seus esforços de segurança cibernética se comparam às orientações e fontes autorizadas do NIST.
• A linguagem comum garante uma comunicação clara dos requisitos e do progresso entre todas as partes interessadas, incluindo a equipe de segurança de TI, gerenciamento, parceiros, contratados, fornecedores e outros.
• A aplicação do NIST Cybersecurity Framework versão 1.1, lançada em abril de 2018, e as melhores práticas de gerenciamento de risco melhoram a segurança cibernética e a resiliência da infraestrutura crítica, independentemente do tamanho da organização ou do nível de sofisticação da segurança cibernética.

Características principais

• Priorizar e definir o escopo dos objetivos e prioridades de negócios da organização.
• Criar um perfil atual que indique o progresso em direção aos resultados desejados.
• Acompanhar as versões da biblioteca do NIST Cybersecurity Framework para avaliações de segurança cibernética.
• Avaliar o risco do ambiente operacional e identificar a probabilidade e o impacto de um evento de segurança cibernética.
• Identificar um perfil de destino que descreva os resultados de segurança cibernética desejados da organização.
• Analisar o perfil atual em relação ao perfil alvo por função, categoria, nível ou processo de negócios para determinar lacunas.
• Implementar um plano de ação para identificar as etapas necessárias para corrigir as lacunas.