Skip to main content
NIST: conheça um dos principais frameworks da cibersegurança
BlogConformidadeRecomendaçõesSegurança

NIST: conheça um dos principais frameworks da cibersegurança

Com a evolução das ameaças cibernéticas, as empresas enfrentam um desafio cada vez maior para proteger seus sistemas, redes e dados. Por isso, é fundamental ter uma estrutura de segurança cibernética abrangente e adaptável, como o NIST, para combater os riscos de forma eficaz.

Ao analisar os componentes desse framework é possível obter as medidas práticas para aumentar a resiliência da segurança cibernética e proteger sua empresa.

Para saber mais sobre a estrutura e os benefícios do NIST, leia o post até o final.

 

O que é NIST?

O NIST, também conhecido como National Institute of Standards and Technology ou traduzido em português como Instituto Nacional de Padrões e Tecnologia, é um órgão do Departamento de Comércio dos EUA que desenvolve e promove medições, padrões e tecnologia. O Congresso dos EUA fundou o NIST em 3 de março de 1901.

Uma de suas principais responsabilidades é o desenvolvimento de padrões e diretrizes de cibersegurança, que ajudam a melhorar a postura de segurança das organizações, por meio de práticas recomendadas pelo NIST.

Vale ressaltar que ele não é uma certificação, porém sua adoção é obrigatória para organizações federais dos EUA, assim como fornecedores.

Isso abrange setores químicos, instalações comerciais, comunicações, fabricação crítica, barragens, entre outras.

 

As principais publicações do NIST

O NIST publica padrões, diretrizes, recomendações e pesquisas sobre segurança e privacidade de dados e sistemas de informação. Elas costumam ser destinadas a agências federais e seus provedores  de serviços terceirizados, fornecedores e contratados. 

 

NIST Cybersecurity Framework (CSF)

nist CSF

Lançado em 2014, o primeiro caso serve como um guia de aperfeiçoamento da segurança cibernética para infraestrutura crítica.

Em 2017, uma ordem executiva do governo passou a exigir o cumprimento do NIST CSF para agências do governo federal e entidades em sua cadeia de suprimentos, porém ele é recomendado para ser utilizado por qualquer organização, seja qual for o setor ou porte.

É responsável por fornecer uma estrutura e ajuda as empresas a entenderem, comunicarem e gerenciarem os riscos cibernéticos. Ela funciona de forma cíclica, com as seguintes etapas:

  1. Identificar: desenvolver a compreensão dos riscos para sistemas, ativos, dados e capacidades. Exemplos: gestão de ativos, ambientes de negócios, governança, avaliação de risco, estratégia de avaliação de risco e gestão de riscos da cadeia de suprimentos;
  2. Proteger: implementar salvaguardas para garantir a prestação de serviços de infraestrutura crítica. Exemplos: controle de acesso, conscientização e treinamento, segurança de dados, processos e procedimentos de proteção da informação, manutenção e tecnologia da proteção;
  3. Detectar: identificar a ocorrência de um evento de segurança cibernética em tempo hábil. Exemplos: anomalias e eventos, monitoramento contínuo de segurança e processos de detecção;
  4. Responder: tomar medidas em relação aos eventos de segurança cibernética detectados para conter o impacto. Exemplos: planejamento, análises e melhorias;
  5. Recuperar: manter planos de resiliência e restaurar capacidades ou serviços prejudicados devido a um evento de segurança cibernética. Exemplos: recuperação e comunicação.

 

NIST Special Publication 800-53 (SP 800-53) 

Com mais de 900 requisitos, o NIST SP 800-53 é a estrutura de segurança cibernética mais granular disponível, ou seja, o “padrão ouro” de segurança cibernética entre os órgãos federais.

Essa publicação fornece diretrizes para os controles de segurança e privacidade para sistemas de informações federais, bem como para sistemas que processam informações federais.

Isso define controles específicos de segurança e privacidade que podem ser aplicados para lidar com vários fatores de risco e oferece orientação sobre como adaptar esses controles às necessidades exclusivas de uma organização.

Vale destacar que o NIST SP 800-53 fornece os controles necessários para implementar o NIST CSF.

 

NIST Special Publication 800-171 (SP 800-171)

A publicação do NIST SP 800-171 aconteceu em junho de 2015 e recebeu várias atualizações em resposta à evolução de ameaças.

Projetado para sistemas de informação não federais e organizações que são contratantes do DoD (Departamento de Defesa dos EUA) e processam, armazenam ou transmitem informações não classificadas controladas (CUI).

A CUI é definida como informações, digitais e físicas, criadas por um governo (ou uma entidade em seu nome) que, embora não seja classificado, ainda é confidencial e requer proteção.

 

NIST Risk Management Framework (RMF)

A estrutura de gerenciamento de riscos do NIST oferece um processo estruturado para que as organizações gerenciem os riscos de segurança e privacidade, a partir das diretrizes e dos padrões do NIST. 

Essa estrutura consiste em seis etapas:

  • categorizar os sistemas de informação;
  • selecionar controles de segurança;
  • implementar controles de segurança;
  • avaliar os controles de segurança;
  • autorizar os sistemas de informação;
  • monitorar os controles de segurança.

 

Qual a importância do NVD?

O acrônimo NVD (National Vulnerability Database, termo em inglês) representa um repositório confiável de informações sobre vulnerabilidades, que é mantido pelo NIST nos Estados Unidos. Ele funciona como a principal fonte autorizada de informações sobre vulnerabilidades identificadas em componentes de software, firmware e hardware.

Uma vez que o NIST desenvolve diretrizes e padrões de cibersegurança, o NVD avalia, classifica e fornece informações sobre as vulnerabilidades com base nessas diretrizes. Juntos, eles desempenham um papel fundamental para ajudar as organizações a realizarem um gerenciamento eficaz e avançar nas práticas de cibersegurança.

Além disso, ele é um modelo de referência que originou outros frameworks como ISO 27001 e CIS.

 

Checks relacionados ao NIST

 

  • Clusters de Redshift não criptografados: os clusters do Redshift contêm dados confidenciais e informações relevantes da organização, portanto é importante habilitar a criptografia gerenciada pelo AWS Key Management Service (KMS). Isso reduz o risco de acesso aos dados por usuários não autorizados ou agentes mal-intencionados;
  • Senha do IAM sem política de reutilização: é recomendável usar uma política IAM para impedir a reutilização de senhas. Isso mitiga o risco de uma violação de segurança, como acesso indevido à conta da AWS, roubo ou vazamento de credenciais e violação de dados;
  • Acesso irrestrito ao PostgreSQL: essa configuração aumenta a exposição do PostgreSQL, a probabilidade de ataques e outras atividades maliciosas. Recomenda-se configurar um grupo de segurança restrito para permitir acesso apenas aos endereços IP necessários, com base no princípio do privilégio mínimo.

 

Esteja em conformidade com o NIST através do CleanCloud Score

A adoção de um framework precisa ser um processo contínuo e evolutivo, de acordo com a visão da organização. 

E para fortalecer a postura de segurança e mitigar riscos no ambiente em nuvem vale a pena seguir os padrões do NIST.

O CleanCloud Score é um produto que oferece visibilidade sobre as nuvens AWS, Azure e Google Cloud, por meio de +400 verificações para ajudar a aumentar sua conformidade com o NIST.

Saiba mais no site: https://cleancloud.io/

Posts Relacionados

Cyber Threat Intelligence BlogConformidadeRecomendaçõesSegurança
15/08/2023

Cyber Threat Intelligence: descubra como aplicar na sua empresa

Isabella Villar
SOC BlogConformidadeRecomendaçõesSegurança
01/08/2023

Qual a importância de um Security Operations Center (SOC)?

Isabella Villar
Red Team Blue Team e Purple Team BlogConformidadeRecomendaçõesSegurança
03/07/2023

Quais as diferenças entre Red Team, Blue Team e Purple Team?

Isabella Villar
Close Menu

Selecione o produto que deseja acessar